BoardLight

Information Gathering

Port and Service

map scan report for 10.10.11.11
Host is up (0.031s latency).
Not shown: 65533 closed tcp ports (reset)
PORT   STATE SERVICE VERSION
22/tcp open  ssh     OpenSSH 8.2p1 Ubuntu 4ubuntu0.11 (Ubuntu Linux; protocol 2.0)
| ssh-hostkey: 
|   3072 06:2d:3b:85:10:59:ff:73:66:27:7f:0e:ae:03:ea:f4 (RSA)
|   256 59:03:dc:52:87:3a:35:99:34:44:74:33:78:31:35:fb (ECDSA)
|_  256 ab:13:38:e4:3e:e0:24:b4:69:38:a9:63:82:38:dd:f4 (ED25519)
80/tcp open  http    Apache httpd 2.4.41 ((Ubuntu))
|_http-title: Site doesn't have a title (text/html; charset=UTF-8).
|_http-server-header: Apache/2.4.41 (Ubuntu)
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel

Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 33.69 seconds

pada website, disini saya mendapatkan informasi domain broad.htb

kemudian saya melakukan subdomain enumeration menggunakan fuff

disini saya mendapatkan subdomain crm selanjutnya saya akan menambahkannya ke /etc/hosts

Initial Access

pada crm.broad.htb menjalanakn aplikasi Dolibarr 17.0.0

disini saya mencoba untuk mencari default credential dari dolibarr dan mendapaktan default credential berikut

disini saya berhasil masuk ke dashboard, selanjutnya saya akan melakukan reverse shell dengan menggunakan cve berikut

• https://github.com/nikn0laty/Exploit-for-Dolibarr-17.0.0-CVE-2023-30253/

disini saya berhasil melakukan reverse shell.

Move to larissa

disini saya mencari configuration file dari dolibarr untuk memeriksa apakah ada password atau tidak, berdasarkan linkdibawah ini file configurasi tersebut berada pada con/conf.php

• https://wiki.dolibarr.org/index.php?title=Configuration_file

dari file configurasi tersebut saya mendapatkan password, selanjutnya saya memeriksa user yang tersedia pada server tersebut untuk mencoba login ssh menggunakan password tersebut

salah satu user yang tersedia adalah larissa, disini saya mencoba untuk login ssh sebagai larissa dengan password tersebut

berhasil masuk sebagai larissa

Privilege Escalation to root

disini saya menjalankan winpeas dan menemukan enlightenment_sys yang rentan terhadap CVE-2022-37706

dengan menggunakan exploit berikut ini saya berhasil mendapatkan root user

• https://github.com/MaherAzzouzi/CVE-2022-37706-LPE-exploit/blob/main/exploit.sh