Sau - HackTheBox

开局先扫一下，发现只有22和55555端口可以访问

进去直接看到开源项目了都

看介绍这是一个收集HTTP请求并且可以展示和检阅它们的一个简单的Web服务

看开源项目的时候留意到最新的Release已经是v1.2.3了，按照HackTheBox的套路，一般都是nday（听大佬说的）所以Google查一下有没有可利用的nday

果然Google一查就有了（CVE-2023-27163）

GetShell 过程

CVE-2023-27163

研究一下找到的POC：https://github.com/entr0pie/CVE-2023-27163

这是一个SSRF漏洞，通过这个脚本就能简单的利用

我也试一下，确实是可以的

成功了但这样跑POC好像没啥用，还不知道漏洞详细情况，于是找到了关于这个漏洞更详细的介绍：

https://notes.sjtu.edu.cn/s/MUUhEymt7#

原来就是这个forward_url存在漏洞，根据文章提示，创建完Baskets之后要访问一下才能触发

我也试试看

成功了，但还是不知道能干啥，不过可以发现这里的HTTP Request信息是我的本地浏览器的

这里想破脑袋也找了很多文章，都没找到SSRF无回显在这种情况下有什么用。但是上面的nc监听的消息里发现，其实它会来GET我指定的内容。回想起端口扫描的时候filtered的80和8338端口，我们能不能让服务器去GET这些内容呢？

这里指定forward_url为127.0.0.1:80

结果还是没用…

留意到"proxy_response": false 试了一下改成true行不行

逆天…还真就行了

访问一下发现也是个项目，老规矩搜一下nday

Maltrail RCE

这东西没有申请CVE，exploitdb搜不到，不过Google查到了

https://huntr.dev/bounties/be3c5204-fbd9-448d-b97c-96a8d2941e87/

文章里表示这样就能执行命令了

curl 'http://hostname:8338/login' \
  --data 'username=;`id > /tmp/bbq`'

结合上面的测试，这个服务会把我们的HTTP Request带过去，正好可以通过SSRF打

提权过程

puma用户可以免密使用sudo执行 /usr/bin/systemctl

根据CTFOBins的指示，我们可以滥用sudo权限提权至root

https://gtfobins.github.io/gtfobins/systemctl/

这里先搞个bash好操作一些

$ script /dev/null /bin/bash

拿下！但是感觉SSRF那里真的有点需要脑洞了，不太友好。提权部分还挺简单。