BoardLight
Reconocimiento
Vamos a identificar en nuestra red detalles de nuestra maquina victima:
Te comento que esta es mi muy particular forma de realizar el reconocimiento y en como yo lo organizo, esto es muy personal, por ejemplo s4vitar suele hacer 3 carpetas, nmap, exploits y content, en mi caso solo suelo tener la carpeta de la maquina victima donde tengo todo y una carpeta exploits
Enumeración
Quick scan:
Targetted ports: servicios y versiones
Vemos que tenemos 2 puertos:
- OpenSSH 8.2p1
- Apache httpd 2.4.41
Puerto 22
Para este puerto, tenemos que revisar vulnerabilidades y dado a que aún no tenemos usuarios para poder revisar, vemos con searchsploit y en Google.
Puerto 80
Searchsploit & Google
En Google, vaya que hay varias, hay que revisar una por una a ver si podemos explotar una vulnerabilidad, si, esto lleva su investigación, no lo olvidemos...
Sitio
Navegando un poco, noto que había una pagina que por el momento no esta disponible:
portfolio.php, tengamos esto en cuenta ya que pudieran haber fallos o archivos extras por ahí...
Whatweb
Aquí me llama la atención la parte del Email, info@board.htb, intentaré agregar este nombre de dominio a nuestro /etc/hosts (virtual hosting) con el fin de verificar si hay algún otro sitio alternativo.
Vamos al sitio a ver si algo cambio:
Wappalizer
Fuzzing
Una de las actividades que suelo realizar en lo que navego y juego un momento con el sitio web, es el fuzzing, esto para poder obtener subdominios y recursos
Directorios:
Vamos intentar enumerar archivos php, txt, html, zip, bak, backup, tar, tar.gz, esto para revisar si existe algo relacionado a lo que encontramos del archivo portfolio.php:
Parece ser que tardara lo suyo...
Bueno, pues no hay mucho por aquí...
Subdominios:
Excelente, encontramos un subdominio... lo agregamos a /etc/hosts y vemos que aparece ahora en el sitio...
Tenemos un panel de login
Pero antes vamos a Google
A empezar a explotar alguna vulnerabilidad...
Bien pues después de un muy buen rato intentando diferentes cosas lo he conseguido:
Login:
Para el login vamos a utilizar admin:admin:
Y esto nos dará el panel principal:
Explotación
Según la vulnerabilidad CVE-2023-30253 existe una manera de ejecutar comandos remotamente (RCE)
Para ello vamos desde la parte superior del sitio a Websites agregamos un website, y además agregamos una pagina (page) en blanco
Posteriormente nos vamos a "Edit HTML source" y agregamos el siguiente ejemplo:
OJO: aquí habría que colocar la IP de atacante.
Preparamos nuestra conexión con NETCAT.
Maquina Atacante:
Maquina victima:
Recargamos la pagina (debemos asegurarnos que tenemos marcada la casilla de "Show dynamic content").
Regresamos a nuestra maquina atacante:
Excelente estamos dentro.
Post-Explotación
Bien si intentamos ir a home vemos que hay un usuario, obvio aparte de root:
Hay que ver como convertirnos en el usuario larissa...
Vamos a intentar usar esta contraseña para el usuario larissa:
Y aquí tenemos ya la primer flag.
Ahora vamos a intentar ver como convertirnos en usuario root.
Bueno, al menos con sudoers no podemos hacer mucho.
Además sabemos que no hay ningún otro usuario, así que vamos a ver como obtener los super poderes.
Binarios con Permisos SUID:
Vale, despues de un tremendo rato investigando, encontré que, de la lista anterior el componente "Enlightenment" es SUID y ademas es vulnerable a escalar privilegios, de acuerdo a lo que encontré:
Enlightenment v0.25.3 - Privilege escalation - Linux local Exploit (exploit-db.com)
Exploit: CVE-2022-37706-LPE-exploit/exploit.sh at main · MaherAzzouzi/CVE-2022-37706-LPE-exploit · GitHub
Y listo!
Somos root.
Espero que este WriteUp te haya gustado.
Yo te veo en una siguiente resolución de maquina.
Rick Alvarez
Comentarios
Publicar un comentario