HackTheBox-BoardLight-WP
本次测试均在合法靶场进行
思路: 信息收集-> 域名 -> 弱口令 -> cve -> getshell -> linpeas.sh -> sudo
环境
kali IP: 10.10.16.45
靶机IP: 10.10.11.11
信息收集
查看下 80 端口先,发现直接 200 ,返回了前端代码(一般会是302 然后给出域名信息的说)
curl http://10.10.11.11 -v
下面是枯燥无味的常规阶段
whatweb 识别一下 网站指纹
whatweb http://10.10.11.11
#返回如下
http://10.10.11.11 [200 OK] Apache[2.4.41], Bootstrap, Country[RESERVED][ZZ], Email[info@board.htb],
HTML5, HTTPServer[Ubuntu Linux][Apache/2.4.41 (Ubuntu)],
IP[10.10.11.11], JQuery[3.4.1], Script[text/javascript], X-UA-Compatible[IE=edge]
#注意 Email[info@board.htb]
#这里其实暴漏了一个域名信息 : board.htb
sudo vim /etc/hosts #给他添加进去
扫描一下网站目录
gobuster dir -u http://10.10.11.11/ -w /usr/share/wordlists/dirb/common.txt
没有什么惊喜呢
子域名扫描
#注意这里没有解析记录要用 vhost 参数,不要用 dns 参数去扫
gobuster vhost -u http://board.htb --append-domain -w /usr/share/wordlists/seclists/Discovery/DNS/subdomains-top1million-5000.txt
发现一个子域名(添加到 /etc/hosts )
访问下两个域名看看
第一个没什么头绪,前面目录也没扫出来什么
第二个 crm.board.htb, 是登录界面 好耶~
而且可以看到是 Dolibarr 17.0.0
测试下弱口令
一发入魂 是什么自己猜咯
GetShell
一边测试后台功能一边找一下 Dolibarr 17.0.0 的漏洞
哈哈先找到exp了
https://github.com/nikn0laty/Exploit-for-Dolibarr-17.0.0-CVE-2023-30253
clone 下来直接用刚才的弱口令反弹shell了
<br/>
<br/>
后渗透
#习惯性先建立一个交互性shell
which python
which python3
python3 -c 'import pty;pty.spawn("/bin/bash")'
ls 发现文件太多了, 搜索发现 Dolibarr 是开源 , 搜索安装教程 发现配置文件目录
https://cn.linux-console.net/?p=21919
查看文件内容发现数据库密码
链接数据库后发现没有什么信息
<br/>
查看/home 和/etc/passwd 发现用户 larissa 但是没有权限访问目录,不然可以尝试找下ssh密钥免密登录
暂时没有进展试下ssh, 用刚刚找到的用户名和数据库密码
哈,直接登上了
<br/>
<br/>
提权
sudo -l
find / -perm -u=s -type f 2>/dev/null
#没找到什么用的上的东西
上LinPeas
python开一个http, 用来上传文件
<br/>
<br/>
靶机下载linpeas 执行
运行时可以去喝杯水哦
经过大量排查发现 enlightenment 可以利用
版本为 0.23.1
找到提权漏洞
<br/>
定位文件位置然后查看
根据文件里链接找到exp