HTB BoardLight. Повышаем привилегии через баг в среде Enlightenment

Содержание статьи

• Разведка
• Сканирование портов
• Точка входа
• Точка опоры
• Продвижение
• Локальное повышение привилегий

Се­год­ня мы с тобой повысим при­виле­гии в Linux, исполь­зуя необыч­ный баг — в доволь­но ред­ко встре­чающей­ся окон­ной сре­де Enlightenment. А что­бы попасть на сер­вер, нам понадо­бит­ся про­экс­плу­ати­ровать RCE-уяз­вимость в CRM/ERP-сис­теме Dolibarr.

На­ша цель — получе­ние прав супер­поль­зовате­ля на машине BoardLight с учеб­ной пло­щад­ки Hack The Box. Уро­вень задания — лег­кий.

warning

Под­клю­чать­ся к машинам с HTB рекомен­дует­ся толь­ко через VPN. Не делай это­го с компь­юте­ров, где есть важ­ные для тебя дан­ные, так как ты ока­жешь­ся в общей сети с дру­гими учас­тни­ками.

Разведка

Сканирование портов

До­бав­ляем IP-адрес машины в /etc/hosts:

10.10.11.11 boardlight.htb

И запус­каем ска­ниро­вание пор­тов.

Справка: сканирование портов

Ска­ниро­вание пор­тов — стан­дар­тный пер­вый шаг при любой ата­ке. Он поз­воля­ет ата­кующе­му узнать, какие служ­бы на хос­те при­нима­ют соеди­нение. На осно­ве этой информа­ции выбира­ется сле­дующий шаг к получе­нию точ­ки вхо­да.

На­ибо­лее извес­тный инс­тру­мент для ска­ниро­вания — это Nmap. Улуч­шить резуль­таты его работы ты можешь при помощи сле­дующе­го скрип­та:

#!/bin/bashports=$(nmap -p- --min-rate=500 $1 | grep ^[0-9] | cut -d '/' -f 1 | tr 'n' ',' | sed s/,$//)nmap -p$ports -A $1

Он дей­ству­ет в два эта­па. На пер­вом про­изво­дит­ся обыч­ное быс­трое ска­ниро­вание, на вто­ром — более тща­тель­ное ска­ниро­вание, с исполь­зовани­ем име­ющих­ся скрип­тов (опция -A).

Ре­зуль­тат работы скрип­та

По резуль­татам ска­ниро­вания име­ем все­го два откры­тых пор­та:

• 22 — служ­ба OpenSSH 8.2p1;
• 80 — веб‑сер­вер Apache 2.4.41.

Как обыч­но в таких ситу­ациях, сра­зу прос­матри­ваем, что же инте­рес­ного есть на сай­те.

Глав­ная стра­ница сай­та 

Точка входа

Вни­матель­но прос­матри­вая сайт, находим толь­ко поч­товый адрес [email protected], который рас­кры­вает нам реаль­ное домен­ное имя.

Глав­ная стра­ница сай­та

Раз наш­ли новое домен­ное имя, обновля­ем содер­жимое фай­ла /etc/hosts.

10.10.11.11 boardlight.htb board.htb

Для даль­нейше­го прод­вижения будет полез­но прос­каниро­вать катало­ги. Возь­мем для это­го feroxbuster.

Справка: сканирование веба c feroxbuster

Од­но из пер­вых дей­ствий при тес­тирова­нии безопас­ности веб‑при­ложе­ния — это ска­ниро­вание методом перебо­ра катало­гов, что­бы най­ти скры­тую информа­цию и недос­тупные обыч­ным посети­телям фун­кции. Для это­го мож­но исполь­зовать прог­раммы вро­де dirsearch, DIRB или ffuf. Я пред­почитаю feroxbuster.

При запус­ке ука­зыва­ем сле­дующие парамет­ры:

• -u — URL;
• -w — сло­варь (я исполь­зую сло­вари из набора SecLists);
• -t — количес­тво потоков;
• -d — глу­бина ска­ниро­вания.

За­даем парамет­ры и запус­каем:

feroxbuster -u http://board.htb/ -w directory_2.3_medium_lowercase.txt -d 1 -t 128

Ре­зуль­тат ска­ниро­вания катало­гов

Ре­зуль­татов мно­го, но инте­рес­ных сре­ди них нет. Так как у нас есть реаль­ный домен сай­та, поп­робу­ем прос­каниро­вать под­домены. Для это­го будем исполь­зовать уже упо­мяну­тый ffuf.

Па­рамет­ры при запус­ке такие:

• -w — сло­варь (так­же из набора SecLists);
• -t — количес­тво потоков;
• -u — URL;
• -H — HTTP-заголо­вок.

Мес­то перебо­ра отме­чаем сло­вом FUZZ.

Вот что у нас вый­дет:

ffuf -u http://board.htb -H 'Host: FUZZ.board.htb' -w subdomains-bitquark-top100000.txt -t 256

Ре­зуль­тат ска­ниро­вания под­доменов

Но в вывод ска­нера попада­ют все вари­анты из передан­ного спис­ка, поэто­му необ­ходимо уста­новить филь­тр. Филь­тро­вать будем по раз­меру стра­ницы, который ука­зыва­ем в парамет­ре -fs.

ffuf -u http://board.htb -H 'Host: FUZZ.board.htb' -w subdomains-bitquark-top100000.txt -t 256 -fs 15949

Ре­зуль­тат ска­ниро­вания под­доменов

В ито­ге уда­лось най­ти еще один под­домен, а зна­чит, обновля­ем запись в фай­ле /etc/hosts, пос­ле чего мож­но прос­мотреть новый сайт через бра­узер.

10.10.11.11 boardlight.htb board.htb crm.board.htb

Фор­ма авто­риза­ции crm.board.htb

Нас встре­чает не какой‑то самопис­ный сайт, а фор­ма авто­риза­ции CRM Dolibarr вер­сии 17.0.0.

Точка опоры

Пер­вым делом сто­ит про­верить, есть ли для обна­ружен­ной CMS готовые экс­пло­иты. Сра­зу идем в Google.

По­иск экс­пло­итов в Google

Пер­вая ссыл­ка по зап­росу «Dolibarr 17.0.0 exploit» ведет на GitHub к экс­пло­иту для уяз­вимос­ти CVE-2023-30253. Эта уяз­вимость поз­воля­ет аутен­тифици­рован­ному поль­зовате­лю обой­ти филь­тр <?php за счет изме­нения регис­тра, а затем заг­рузить и выпол­нить про­изволь­ный код.

Экс­пло­иту из репози­тория тре­бует­ся передать в парамет­рах URL и учет­ные дан­ные поль­зовате­ля Dolibarr, а так­же адрес и порт лис­тенера для реверс‑шел­ла.

Ме­ню help экс­пло­ита

Источник: xakep.ru