文章目录
- 1、信息收集
- 2、ssrf
- 3、命令执行
1、信息收集
fscan扫描ip发现存在22和55555,但是实际上这个fscan扫描的不全
再试试nmap
nmap -sV -sC -sT -v -T4 10.10.11.224
有三个端口,其中80应该是只能内网访问,看来需要借助ssrf了。
2、ssrf
访问55555端口是个Request Baskets,这个存在一个ssrf漏洞,可以用现成的脚本来实现
https://github.com/entr0pie/CVE-2023-27163
先创建一个地址
点击这个设置,把要访问地址输上
最后我们去访问下http://10.10.11.224:55555/yu22x即可看到http://127.0.0.1的内容了
3、命令执行
可以看到这个80页面是用Maltrail搭建的,那么直接搜下这个东西的漏洞
存在命令执行漏洞https://huntr.dev/bounties/be3c5204-fbd9-448d-b97c-96a8d2941e87/
利用方式
username=;`要执行的命令`
不过这 靶机有点奇怪,直接反弹shell不行,但是可以写个sh,然后去执行sh
其中sh文件内容为反弹shell的命令
在/home/puma下得到flag1,直接需要提权
先通过python进入全交互界面
python3 -c 'import pty;pty.spawn("/bin/bash")'
sudo -l查看权限
提示systemctl可以不输入密码执行
去gtfobins上搜下https://gtfobins.github.io/#tra
在交互界面输入!sh即可直接得到root权限
