SneakyMailer - HackTheBox

nmap扫描

访问80

添加hosts文件

一大堆邮箱地址

25和143都开了邮件服务

尝试给这些邮箱地址发邮件，看看会不会有可用信息

有一个地址给了回复，password经过url解码后疑似密码

尝试ssh登录

在试试ftp

发现一个dev目录

貌似就是网站的根目录，尝试上传一个反弹shell文件

访问

可能不在这个域名下，gobuster跑一下域名

添加hosts文件

提权

在网站目录下发现一个pypi的域名，也添加进hosts文件

本地开放了一个5000端口

发现一个密钥文件

在本地爆破一下

本地的5000端口通过nginx映射后为8080端口

访问一下

通过爆破密钥获得的账号密码进行登录

搜一下有无可用exp

https://hg8.sh/posts/sneakymailer/#Cracking-PyPi-server-htpasswd

可以通过python进行写入一个密钥文件，达到登录其他用户

先创建一个.pypirc文件

然后生成一个密钥文件

将密钥修改为本地生成的

上传到靶机

添加环境变量

执行setup.py

尝试用密钥登录

发现sudo权限命令