Portfolio

BoardLight HackTheBox (Writeup)

LogoHack The Boxapp.hackthebox.com

Skills:

  • Subdomain Enumeration

  • Dolibarr 17.0.0 Exploitation - CVE-2023-30253

  • Information Leakage (User Pivoting)

  • Enlightenment SUID Binary Exploitation [Privilege Escalation]

Reconnaissance

Création de l'espace de travail :

Nous établirons notre espace de travail en créant trois dossiers pour stocker les contenus importants, les exploits et les résultats de la reconnaissance à l'aide de Nmap.

Vérification de la Connectivité VPN

Vérification de la connexion VPN pour assurer une communication stable avec la machine cible.

Recherche des ports ouverts avec Nmap :

Exploration des ports ouverts et exportation dans le fichier "allPorts" dans le répertoire Nmap:

Analyse des ports ouverts avec extractPorts:

Utilisation de la fonction extractPorts pour afficher de manière synthétique les ports ouverts et les copier dans le clipboard (22,80)

Scan de la version des ports avec Nmap:

Utilisation de Nmap pour scanner la version des ports et extraction des informations dans le fichier "targeted" :

Port 80 - HTTP

Analyse avec WhatWeb : Nous identifions un email contenant un nom de domaine : board.htb.

Pour résoudre les noms de domaine en adresses IP via DNS, on insère dans le fichier /etc/hosts le nom de domaine associé à son adresse IP:

Énumération Web

Recherche de directories avec Feroxbuster :

Aucun résultat pertinent n’est trouvé.

Énumération des sous-domaines avec Gobuster :

Nous découvrons un sous-domaine : crm.board.htb..

Nous l’ajoutons à /etc/hosts

Vulnérabilité CMS Dolibarr

Connexion sans authentification : Une tentative de connexion avec des identifiants aléatoires connecte en tant qu’administrateur mais sans permissions.

Exploitation Manuelle

Création d’un site malveillant :

Dans la section de création de site, nous insérons un code PHP malveillant :

Nous confirmons l’exécution de commandes.

Reverse Shell :

Mise en écoute :

Code PHP pour reverse shell :

Exploitation Automatique

LogoGitHub - Rubikcuv5/cve-2023-30253: Dolibarr before 17.0.1 allows remote code execution by an authenticated user via an uppercase manipulation: <?PHP instead of <?php in injected data.GitHub

Installation des dépendances :

Exécution du script :

Test de commande (whoami)

Reverse shell

Traitement de la Terminal

User Pivoting - Larissa

L'objectif est de réaliser un pivoting vers l'utilisateur larissa.

Énumération d'informations

Dans le répertoire web situé dans htbdocs, nous trouvons un dossier nommé conf contenant un fichier conf.php. Ce fichier contient les informations suivantes :

  • password: serverfun2$2023!!

Connexion SSH

Avec les informations récupérées, essayons de nous connecter à la machine via SSH :

Résultat : La connexion fonctionne.

Flag user.txt :)

Élévation de privilèges

SUID - Enlightenment

Nous commençons par rechercher les fichiers SUID appartenant à notre utilisateur. Pour ce faire, exécutez la commande suivante :

En analysant la sortie, nous remarquons la présence du binaire enlightenment.

Nous explorons les vulnérabilités associées à ce binaire. Après quelques recherches, nous identifions un exploit applicable pour la version 0.25.4.

LogoEnlightenment v0.25.3 - Privilege escalationExploit Database

Cependant, en vérifiant la version actuelle d'Enlightenment installée sur le système, nous trouvons qu'il s'agit de la version 0.23.1, une version plus ancienne.

Nous testons l'exploit suivant pour exploiter la vulnérabilité :

Après l'exécution de l'exploit, nous obtenons un shell avec les privilèges root.

Flag root.txt :)

Mis à jour

Ce contenu vous a-t-il été utile ?