BoardLight
Last updated
Last updated
✍️ Autor: Hack The Box 🔍 Dificultad: Fácil 📅 Fecha de creación: 25/05/2024
En primer lugar, tras conectarnos a la máquina, utilizamos el comando:
para verificar la conectividad de red.
A continuación, realizamos el comando:
para realizar un escaneo de puertos y servicios detallado en la dirección IP.
Como podemos observar durante el escaneo que el puerto 22 perteneciente al servicio SSH y el puerto 80 perteneciente al servicio HTTP están abiertos por lo que a continuación se indagará más.
Se utiliza el comando:
para que nos proporcione más información sobre esos puertos específicamente.
Seguimos indagando más sobre los puertos y ahora indagamos sobre el servicio HTTP. Se ingresó la dirección IP en el navegador lo que llevó a que la página web nos salga una página de una consultoría de ciberseguridad.
Inspeccionamos el código fuente y no vemos nada relevante.
Ahora buscaremos directorios con la herramienta Gobuster a través de:
Hemos descubierto un subdominio por lo que editamos el fichero /etc/hosts con el subdominio y la IP.
Con la herramienta Wfuzz vemos los directorios y archivos que contiene la página.
Nos llama la atención el archivo index.php por lo que realizamos la búsqueda.
Es un panel de login por lo que probamos las credenciales más comunes. Probamos admin tanto para contraseña y usuario y nos deja iniciar sesión correctamente.
Revisamos la versión por Internet si tiene alguna vulnerabilidad. Efectivamente tiene una vulnerabilidad que intentaremos explotar haciendo una Reverse Shell.
Ejecutamos el script mientras nos ponemos en escucha para conectarnos.
En esta etapa, tras obtener la shell en la máquina objetivo, descubrimos que el flag no se encuentra en esta máquina en particular. En cambio, el objetivo ahora es buscar las credenciales del otro usuario en esta misma máquina que indagando por documentaciones de Dolibarr se llama Larissa.
Mostramos el contenido del archivo conf.php
Hemos descubierto las credenciales por lo que nos conectamos a través del serivicio SSH.
Al estar dentro y ejecutar:
aún no somos root, por lo que hacemos:
para ver si hay algo para explotar pero nos pide contraseña.
Listamos el contenido que tiene el usuario y descubrimos la flag del usuario.
Utilicé LinPEAS, un script diseñado para identificar posibles rutas de escalamiento de privilegios en sistemas operativos Linux, Unix y macOS. Para obtener más información sobre este script, pueden consultar el siguiente enlace: LinPEAS en GitHub.
Primero, busqué el código del script en GitHub, lo copié y lo guardé en un archivo llamado linpeas.sh en el directorio del usuario Larissa. Para hacer esto, utilicé el editor nano con el siguiente comando:
Dentro de este archivo, pegué todo el código obtenido de GitHub y lo guardé. Sin embargo, para ejecutar el script, necesitamos otorgarle permisos de ejecución, lo cual se hace con el siguiente comando:
Luego de esto ejecutamos el script de la siguiente manera:
Esperamos a que el script termine su ejecución. Una vez completado, revisamos los archivos de interés. LinPEAS realiza un escaneo exhaustivo del sistema para identificar archivos y configuraciones que podrían presentar vulnerabilidades para la escalada de privilegios.
Entre los archivos más relevantes o recurrentes se encuentran los relacionados con Enlightenment. Tras investigar, descubrimos que la versión 0.23 de Enlightenment tiene una vulnerabilidad identificada con el código [CVE-2022–37706]. Además, encontramos que existe un exploit disponible para explotar esta vulnerabilidad que coincide con el exploit que tiene Larissa.
Ya somos root por lo que tenemos el máximo de los privilegios y al entrar en el directorio del root y al listarlo nos sale la última bandera.
