HTB - Outbound
https://labs.hackthebox.com/achievement/machine/1503196/672
初始帳號 tyler / LhKL1o9Nm3X2
執行摘要
本次專案目標為取得目標伺服器的最高控制權。我們透過既有的初始帳號作為突破口,利用 Roundcube Webmail 的 RCE 漏洞 (CVE-2025-49113) 取得網頁伺服器權限。接著透過資料庫配置檔與內建解密腳本,成功橫向移動至內部員工 jacob 的信箱與 SSH 服務最終,我們利用開源監控工具 below 的本地提權漏洞 (CVE-2025-27591),成功將最高權限寫入 /etc/passwd,達成 System Root 完破 (Pwned)。
資訊蒐集
首先先使用 nmap 初次枚舉一下資訊
1 | |
受測主機上有明顯的兩個 Port , 分別是網頁和 SSH 服務
通過原始碼可以得知版本號 , 我們可以利用版本號來搜尋有沒有相關能利用的漏洞
通過搜尋結果我們可以得知受測主機的版本停留在有漏洞的版本
取得網站主機管理權限獲取
通過 CVE-2025-49113 我們可以利用一個已經存在的帳號來取得 RCE 漏洞
cat config/config.inc.php
進入網頁主機後找到設定檔 , 結果發現裡面有明文寫著的 MySQL 服務帳號密碼
1 | |
User table
Session table
| Key | Value |
|---|---|
| password | L7Rv00A8TuwJAr67kITxxcSgnIk25Am/ |
| auth_secret | DpYqv6maI9HxDL5GhcCd8JaQQW |
| request_token | TIsOaABA1zHSXZOBpH6up5XFyayNRHaw |
因為imap登入需要明文帳號密碼 , 所以伺服器中肯定存在解密的腳本一番尋找我們在 /bin中找到解密腳本
至此 , 我們拿到受測主機信箱服務的一個使用者的帳號密碼
jacob:595mO8DmwGeD
登入郵件伺服器後看到
由上圖對話得知 Tyler 似乎是網路管理員 , 給了我們連入伺服器的帳號密碼 , 並提醒我們要修改所以 jacob 的 SSH 帳號密碼似乎會是 jacob:gY4Wr3a1evp4
至此拿到了 user
權限提升Privilege Escalation
進到系統先 sudo -l 看有沒有用 root 權限跑得程式
below 然後有幾個參數是被禁止的執行後看到版本為 0.8.0
由於這是個開源程式 , 我們來看看 Github 主頁有什麼可以利用的資訊
到 Github 上看到有安全回報
我們可以透過輸入指令錯誤的 log 來讀寫任意檔案 , 甚至增加帳戶測試一下我們的錯誤內容確實被紀錄在 root 這個帳戶的 log 裡面
那這樣多了很多操作空間 , 我們能利用 error_root.txt 這個檔案來寫入任何檔案
所以我們先刪掉原本的 error_root 然後符號連接到 /etc/passwd
引用剛剛頁面所說的 CVE-2025-27591 的 PoC
通過施測人員開設一個網頁伺服器投入受測主機
至此達成 root
1 | |