search

MAQUINA MYBB (Virtual Host - MYBB 1.8.35 RCE CVE-2023-41362 - PrivEsc Sudo rb)

hashtag
Reconocimiento y Enumeración

```BASH
nmap -p- --open --min-rate 2000 -n -Pn -sSCV 172.17.0.2 -oN fullscan.txt
Starting Nmap 7.95 ( https://nmap.org ) at 2025-07-22 20:40 -03
Nmap scan report for 172.17.0.2
Host is up (0.0000050s latency).
Not shown: 65534 closed tcp ports (reset)
PORT   STATE SERVICE VERSION
80/tcp open  http    Apache httpd 2.4.58 ((Ubuntu))
|_http-title: MyBB
|_http-server-header: Apache/2.4.58 (Ubuntu)
MAC Address: 02:42:AC:11:00:02 (Unknown)
```BASH
nmap -p80 --script=http-enum.nse 172.17.0.2 -oN directory.txt           
Starting Nmap 7.95 ( https://nmap.org ) at 2025-07-22 20:40 -03
Nmap scan report for 172.17.0.2
Host is up (0.000061s latency).

PORT   STATE SERVICE
80/tcp open  http
| http-enum: 
|   /css/: Potentially interesting directory w/ listing on 'apache/2.4.58 (ubuntu)'
|   /images/: Potentially interesting directory w/ listing on 'apache/2.4.58 (ubuntu)'
|_  /js/: Potentially interesting directory w/ listing on 'apache/2.4.58 (ubuntu)'
MAC Address: 02:42:AC:11:00:02 (Unknown)

La web posee virtual hosting donde me redirige http://panel.mybb.dl, dicho hosting lo agrego al /etc/hosts, luego ejecuto otro whatweb para ver las tecnologías.

Mybb es un software de foro gratuito y open source su versión reciente es la 1.8.39 (busque en internet)

LogoGitHub - mybb/mybb: MyBB is a free and open source forum software.GitHubchevron-right

Otro hallazgo la versión de apache antigua:

Vuelvo a ejecutar una búsqueda de directorios pero indicándole como url http://panel.mybb.dl.

En dicha web hay un panel de login y una sección para registrarnos.

Luego de reconocer la web encontré que "admin" es un usuario valido pero no encontré la versión del software actual de "mybb".

Realice fuerza bruta al usuario admin y encontré que varias contraseñas son validas pero 1 sola funciono admin:babygirl

Con dichas credenciales accedí al panel de administrador pero también hay una ruta llamada http://panel.mybb.dl/admin/ donde hay otro panel de sesión, en este mismo panel use las credenciales anteriores, una vez dentro pude dar con el panel de configuración y con la versión actual del software.

hashtag
Explotación

Busque si existe alguna vulnerabilidad para dicha versión donde encontré lo siguiente: https://blog.sorcery.ie/posts/mybb_acp_rce/

Luego de leer de que se trata esta vulnerabilidad use la prueba de concepto logrando leer archivos del sistema.

Existe un exploit que te automatiza todo el proceso (no lo use): https://github.com/SorceryIE/CVE-2023-41362_MyBB_ACP_RCE/blob/main/exploit.py

La prueba de concepto de phpinfo funciona.

Y la ejecución de comandos también funciona a la perfección, ahora toca realizar un RCE.

Para realizar el RCE lo siguiente

hashtag
Post Explotación (mov lateral y escalado de priv)

Ahora tengo acceso a la maquina como www-data; busque información sobre los usuarios dando con el único "alice", también busque información del sistema, puertos corriendo internamente.

Dentro de www-data@08f9851cda7f:/var/www/mybb$ hay varios archivos, para no leer uno por uno use "grep -r" para que me busque de forma recursiva la palabra "alice"

Encontré un hash que lo logre descifrar con john.

Ahora pase de ser www-data a alice, luego ejecute un sudo -l y vi que el usuario alice puede ejecutar cualquier script Ruby (*.rb) dentro del directorio /home/alice/scripts/ como root sin necesidad de contraseña.

Para escalar privielgios hice lo siguiente:

Porque funciono?

Porque sudo te permite ejecutar cualquier archivo .rb sin pedir contraseña, y como Ruby puede ejecutar comandos del sistema (como exec o system), eso te da control total si creás tu propio archivo.

Luego de esto ya obtuve el control de la maquina como ROOT.

PreviousMAQUINA WALKINGCMSNextMAQUINA PN (EXPLOIT UPLOAD .WAR TOMCAT - RCE 'MSFVENOM')

Last updated