HackTheBox - BoardLight Writeup
Makine Adı: BoardLight - Sistem: Linux - Değerlendirme: 4.4/5 - Seviye: Kolay - Yazar: cY83rR0H1t
Bu makinede dolibar yazılımının 17.0.0 sürümünde bulunan PHP Code Injection zafiyetinden yararlanarak sistemden shell elde edeceğiz. Devamında config dosyasından larissa kullanıcısının şifresini ve SUID bitlerinden yararlanarak da root yetkisini elde edeceğiz.
CoffeeScript:
Starting Nmap 7.94SVN ( https://nmap.org ) at 2024-07-11 21:18 EDT
Nmap scan report for 10.10.11.11
Host is up (0.12s latency).
Not shown: 998 closed tcp ports (reset)
PORT STATE SERVICE VERSION
22/tcp open ssh OpenSSH 8.2p1 Ubuntu 4ubuntu0.11 (Ubuntu Linux; protocol 2.0)
| ssh-hostkey:
| 3072 06:2d:3b:85:10:59:ff:73:66:27:7f:0e:ae:03:ea:f4 (RSA)
| 256 59:03:dc:52:87:3a:35:99:34:44:74:33:78:31:35:fb (ECDSA)
|_ 256 ab:13:38:e4:3e:e0:24:b4:69:38:a9:63:82:38:dd:f4 (ED25519)
80/tcp open http Apache httpd 2.4.41 ((Ubuntu))
|_http-server-header: Apache/2.4.41 (Ubuntu)
|_http-title: Site doesn't have a title (text/html; charset=UTF-8).
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel
Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 24.65 seconds
Web sitesinde önemli bir bilgi bulunmuyor, öyle ki barındırdığı formlar bile çalışmıyor. Yaptığım dizin taramasından bir sonuç alamadım. Alt alan adlarını taramaya başladığımda ise crm.board.htb adında bir adres keşfettim.
Kullanıcı adı ve şifresi admin olarak ayarlanmış. Ayrıyeten kullandığı yazılımın adını ve sürümünü internette aratınca aşağıdaki exploit ile karşılaştım.
GitHub - nikn0laty/Exploit-for-Dolibarr-17.0.0-CVE-2023-30253: Reverse Shell POC exploit for Dolibarr <= 17.0.0 (CVE-2023-30253), PHP Code Injection
Reverse Shell POC exploit for Dolibarr <= 17.0.0 (CVE-2023-30253), PHP Code Injection - nikn0laty/Exploit-for-Dolibarr-17.0.0-CVE-2023-30253
github.com
Bildiğiniz üzere bir sitenin veritabanına bağlandığını biliyorsak, ilk önce yapmamız gereken şey config dosyasına ulaşmaktır.
Diff:
$dolibarr_main_db_host='localhost';
$dolibarr_main_db_port='3306';
$dolibarr_main_db_name='dolibarr';
$dolibarr_main_db_prefix='llx_';
$dolibarr_main_db_user='dolibarrowner';
$dolibarr_main_db_pass='serverfun2$2023!!';Buradaki şifre sistemde bulunan larissa kullanıcısının şifresiyle eşleşiyor. Kullanıcıya geçiş yaptıktan sonra home dizini altından ilk bayrağımı aldım. Veritabanınında superadmin ve admin olmak üzere 2 kullanıcı bulunuyor. admin kullanıcısının şifresinin admin olduğunu biliyoruz zaten. superadmin kullanıcısının şifresini de kıramadım. Yetkili olarak çalıştırabileceğim dosyalardan biri enlightenment_sys.
GitHub - MaherAzzouzi/CVE-2022-37706-LPE-exploit: A reliable exploit + write-up to elevate privileges to root. (Tested on Ubuntu 22.04)
A reliable exploit + write-up to elevate privileges to root. (Tested on Ubuntu 22.04) - MaherAzzouzi/CVE-2022-37706-LPE-exploit
github.com
Exploiti makineye yükledikten sonra çalıştırıp root yetkisini alıyorum.
Son düzenleme:
