Hack The Box BoardLight

Hack The Box BoardLight 靶机

靶机 IP:10.10.11.11

Web 渗透

放 Goby 里扫描

发现开启 80 端口,查看 Web 页面

发现一个域名

1
board.htb

放进 Host 解析

fuzz 一下子域名

1
.\wfuzz.bat -c -w "E:\Crack\Red_Team\Dict\SecLists\Discovery\DNS\subdomains-top1million-5000.txt" -u "http://board.htb/" -H "Host: FUZZ.board.htb"

把 517 过滤掉

1
.\wfuzz.bat -c -w "E:\Crack\Red_Team\Dict\SecLists\Discovery\DNS\subdomains-top1million-5000.txt" -u "http://board.htb/" -H "Host: FUZZ.board.htb" --hl 517

得到子域名 crm.board.htb,添加到 Host 里,访问

得到一个 CMS 的登录界面,CMS 为 Dolibarr 17.0.0,查找默认密码

可登录

发现可以添加网页

那就简单了,创建页面 abc

创建时提示

Website 是定时删除的,这里注意一下。重新创建,编辑 HTML 源,添加命令检查一下能不能执行

1
<?php echo system("whoami");?>

额,禁止动态命令?大小写绕一下试试?

可以了。准备一个 php 反弹 shell 来反弹就可以了

OK 拿到 shell

内网渗透

找 flag

1
find / -type f -name "user.txt"

没有?说明在其他用户里,看看数据库配置里有没有啥信息泄露

1
find /var/www/html/crm.board.htb -type f -name "*conf*"

发现文件

1
/var/www/html/crm.board.htb/htdocs/conf/conf.php

得到一个用户账号密码

1
dolibarrowner/serverfun2$2023!!

主机上有这个用户吗?

1
cat /etc/passwd

没有,看看 Home 下面到底有几个用户

有一个 larissa。试试登录一下 larissa/serverfun2$2023!!

登录进来了,找 flag

又到了喜闻乐见的 Linux 提权环节

linux-smart-enumeration 试试。

DirtyPipe?试试

失败了……看看 linPEAS 能出啥

额……大差不差,都用不了。然后下面也没啥东西了。然后看见 enlightenment 标红。

桌面?

好了,找 exp 直接利用就行了

成功。拿到 flag