Hack The Box - BoardLight

Hack The Box BoardLight 靶机

靶机IP：10.10.11.11

Web 渗透

放 Goby 里扫描

发现开启 80 端口，查看 Web 页面

发现一个域名

board.htb

放进 Host 解析

fuzz 一下子域名

.wfuzz.bat -c -w "E:CrackRed_TeamDictSecListsDiscoveryDNSsubdomains-top1million-5000.txt" -u "http://board.htb/" -H "Host: FUZZ.board.htb"

把 517 过滤掉

.wfuzz.bat -c -w "E:CrackRed_TeamDictSecListsDiscoveryDNSsubdomains-top1million-5000.txt" -u "http://board.htb/" -H "Host: FUZZ.board.htb" --hl 517

得到子域名 crm.board.htb，添加到 Host 里，访问

得到一个 CMS 的登录界面，CMS 为 Dolibarr 17.0.0，查找默认密码

可登录

发现可以添加网页

那就简单了，创建页面 abc

创建时提示

Website 是定时删除的，这里注意一下。重新创建，编辑 HTML 源，添加命令检查一下能不能执行

<?php echo system("whoami");?>

额，禁止动态命令？大小写绕一下试试？

可以了。准备一个 php反弹 shell 来反弹就可以了

OK 拿到 shell

内网渗透

找 flag

find / -type f -name "user.txt"

没有？说明在其他用户里，看看数据库配置里有没有啥信息泄露

find /var/www/html/crm.board.htb -type f -name "*conf*"

发现文件

/var/www/html/crm.board.htb/htdocs/conf/conf.php

得到一个用户账号密码

dolibarrowner/serverfun2$2023!!

主机上有这个用户吗？

cat /etc/passwd

没有，看看 Home 下面到底有几个用户

有一个 larissa。试试登录一下 larissa/serverfun2$2023!!

登录进来了，找 flag

又到了喜闻乐见的 Linux 提权环节

用 linux-smart-enumeration 试试。

DirtyPipe？试试

失败了……看看linPEAS 能出啥

额……大差不差，都用不了。然后下面也没啥东西了。然后看见 enlightenment 标红。

桌面？

好了，找 exp 直接利用就行了

成功。拿到 flag

原文始发于微信公众号（在下小白）：Hack The Box - BoardLight