HTB-Outbound

HackTheBox
, , ,

题目给了初始账户:tyler / LhKL1o9Nm3X2

Nmap

扫描端口:

1
nmap -p- --min-rate 10000 10.10.11.77

Pasted image 20250724211031
开放了22、80端口
扫一下详细信息:

1
nmap -p22,80 -sV -sC 10.10.11.77

Pasted image 20250724211518
10.10.11.77 mail.outbound.htb加入到hosts文件中

Nuclei

初始账号无法登录22端口,用Nuclei扫描一下80端口

1
nuclei -u http://mail.outbound.htb

Pasted image 20250724211908
扫描出一个CVE-2025-49113,在网上搜索信息,是Roundcube RCE漏洞
使用网上现成的exp,配合初始账号拿到shell
Pasted image 20250724221100

MySQL

传fscan扫描服务,发现有mysql服务,查看网站的配置文件,可以找到mysql账号密码。
使用mysqldump导出数据库数据

1
musqldump -u roundcube -p roundcube > roundcube.sql

session表中,记录了用户登录的session记录
Pasted image 20250724223904
将session字符串解码,可以拿到password,但这是加密过的
Pasted image 20250724224005

3DES

在配置文件中我们可以找到des_key
Pasted image 20250724224422
在源码中,我们可以找到,默认的加密方式是:DES-EDE3-CBC 也就是3DEC中的CBC模式
Pasted image 20250725101954
我们已经知道了密钥、密文还需要知道IV(初始向量)
Pasted image 20250725102933
iv_size是默认的8个字节,iv的值为密文的前8个字节。
开始解密
Pasted image 20250725103427
可以拿到jacob的password
切换到jacob用户。
在jacob家目录下找到一个邮件,里面有登录密钥,尝试ssh登录。
Pasted image 20250725103722

ROOT

查看sudoers 文件,发现可以执行below命令
Pasted image 20250725104005
搜索below命令提权,找到利用文章:Linux提权漏洞CVE-2025-27591,从零基础到精通,收藏这篇就够了!linux cve-CSDN博客

github上找exp,传进去提权。
Pasted image 20250725104712
Pasted image 20250725104749
成功拿到root权限
Pasted image 20250725104834