HackTheBox-BoardLight-WP

HackTheBox-BoardLight-WP

思路: 信息收集-> 域名 -> 弱口令 -> cve -> getshell -> linpeas.sh -> suid

环境

攻击机IP: 10.10.16.45

靶机IP: 10.10.11.11

信息收集

查看下 80 端口先,发现直接 200 ,返回了前端代码(一般会是302 然后给出域名信息的说)

 curl http://10.10.11.11 -v

下面是枯燥无味的常规阶段

whatweb 识别一下 网站指纹

whatweb http://10.10.11.11

#返回如下
http://10.10.11.11 [200 OK] Apache[2.4.41], Bootstrap, Country[RESERVED][ZZ], Email[info@board.htb], 
HTML5, HTTPServer[Ubuntu Linux][Apache/2.4.41 (Ubuntu)], 
IP[10.10.11.11], JQuery[3.4.1], Script[text/javascript], X-UA-Compatible[IE=edge]

#注意 Email[info@board.htb]
#这里其实暴漏了一个域名信息 : board.htb

sudo vim /etc/hosts  #给他添加进去

扫描一下网站目录

gobuster dir -u http://10.10.11.11/ -w /usr/share/wordlists/dirb/common.txt

没有什么惊喜呢

子域名扫描

#注意这里没有解析记录要用 vhost 参数,不要用 dns 参数去扫
gobuster vhost -u http://board.htb --append-domain -w /usr/share/wordlists/seclists/Discovery/DNS/subdomains-top1million-5000.txt

发现一个子域名(添加到 /etc/hosts )

访问下两个域名看看

第一个没什么头绪,前面目录也没扫出来什么

第二个 crm.board.htb, 是登录界面 好耶~

而且可以看到是 Dolibarr 17.0.0

测试下弱口令

一发入魂 是什么自己猜咯

GetShell

一边测试后台功能一边找一下 Dolibarr 17.0.0 的漏洞

哈哈先找到exp了

https://github.com/nikn0laty/Exploit-for-Dolibarr-17.0.0-CVE-2023-30253

clone 下来直接用刚才的弱口令反弹shell了

后渗透

#习惯性先建立一个交互性shell
which python
which python3

python3 -c 'import pty;pty.spawn("/bin/bash")'

ls 发现文件太多了, 搜索发现 Dolibarr 是开源 , 搜索安装教程 发现配置文件目录

https://cn.linux-console.net/?p=21919

查看文件内容发现数据库密码

链接数据库后发现没有什么信息

查看/home 和/etc/passwd 发现用户 larissa 但是没有权限访问目录,不然可以尝试找下ssh密钥免密登录

暂时没有进展试下ssh, 用刚刚找到的用户名和数据库密码

哈,直接登上了

提权

sudo -l
find / -perm -u=s -type f 2>/dev/null
#没找到什么用的上的东西

上LinPeas

python开一个http, 用来上传文件

靶机下载linpeas 执行

运行时可以去喝杯水哦

经过大量排查发现 enlightenment 可以利用

版本为 0.23.1

找到提权漏洞

定位文件位置然后查看

根据文件里链接找到exp

下载上传运行

提权成功