BoardLight

https://app.hackthebox.com/machines/603

Reconocimiento

# Nmap 7.94SVN scan initiated Mon Oct  7 13:20:29 2024 as: nmap -p22,80 -T5 -sCV -oN Targeted 10.10.11.11
Nmap scan report for board.htb (10.10.11.11)
Host is up (0.054s latency).

PORT   STATE SERVICE VERSION
22/tcp open  ssh     OpenSSH 8.2p1 Ubuntu 4ubuntu0.11 (Ubuntu Linux; protocol 2.0)
| ssh-hostkey: 
|   3072 06:2d:3b:85:10:59:ff:73:66:27:7f:0e:ae:03:ea:f4 (RSA)
|   256 59:03:dc:52:87:3a:35:99:34:44:74:33:78:31:35:fb (ECDSA)
|_  256 ab:13:38:e4:3e:e0:24:b4:69:38:a9:63:82:38:dd:f4 (ED25519)
80/tcp open  http    Apache httpd 2.4.41 ((Ubuntu))
|_http-title: Site doesn't have a title (text/html; charset=UTF-8).
|_http-server-header: Apache/2.4.41 (Ubuntu)
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel

Explotación

Lo primero que vamos es el dominio que tienela página web para añadirlo a nuestro /etc/hosts el cual encontramos en el correo

Una vez con el dominio añadido vamos a fuzzer la página ya que no hemos encontrado nada a simple vista, así que vamos a fuzzear los subdominios:

gobuster vhost -u http://board.htb/ -w /usr/share/SecLists/Discovery/DNS/subdomains-top1million-20000.txt -t 100 --append-domain

Encontramos el subdominio crm.board.htb vamos a ver que hay dentro

Nos encontramos con un login el ual las credenciales son admin:admin, buscando vulenrabilidades de Dolibarr 17.0.0 he encontrado este blog el cual explica el RCE

Security Advisory: Dolibarr 17.0.0 PHP Code Injection (CVE-2023-30253) - SwascanSwascan

Lo primero que tenemos que hacer es irnos al apartado de Websites, una vez ahí tenemos que darle al símbolo del + para crear una web, la llamamos como queramos y luego creamos una página, una vez hecho esto nos encontramos en la siguiente posición cuando le damos a editar el html

Una vez aquí vamos a ver si nos deja ejecutar código PHP:

y al parecer si lo ejecuta:

Duna vez con ejecución remota de comandos lo que vasmos a hacer es coger la reverse shell de pentest monkey y la vamos a pegar y ejecutar:

https://raw.githubusercontent.com/pentestmonkey/php-reverse-shell/refs/heads/master/php-reverse-shell.php

Escalada de Privilegios

Priemro de todo hacemos el tratamiento de la TTY

script /dev/null -c bash
{ctrl+z}
stty raw -echo;fg
reset xterm
export TERM=xterm SHELL=bash
stty -a # ver en mi pantalla
stty rows 47 columns 210

Investigando por la máquina he encontrado este archivo de configuración:

/html/crm.board.htb/htdocs/conf/conf.php

La contraseña la reutiliza el usuario larissa:serverfun2$2023!!, una vez ya como larissa vamos a empezar otra vez la escalada de privilegios, y encontramos como SUID lo siguiente lo cual no es común y podemos investigar si es vulnerable:

Encuentro buscando por internet el siguiente exploit, el cual vamos a utilizar

CVE-2022-37706-SUID/exploit.sh at main · TACTICAL-HACK/CVE-2022-37706-SUIDGitHub

y alcanzaríamos el usuario root: