# Pntopntobarra

### 🔍 **RECONOCIMIENTO**

En primer lugar, tras conectarnos a la máquina, utilizamos el comando:

```bash
ping -c 1 172.17.0.2
```

para verificar la conectividad de red.

<figure><img src="https://469389308-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FbKXfRjFOYJgGlV1An6Cf%2Fuploads%2Fm05d2G5yUQwLw3UGA9JJ%2Fimage.png?alt=media&#x26;token=5109c2a0-f372-4d13-877b-fa0c52db676f" alt=""><figcaption></figcaption></figure>

A continuación, se realiza el comando:

```bash
nmap -p- --open -sT --min-rate 5000 -vvv -n -Pn 172.17.0.2 -oG allPorts
```

para realizar un escaneo de puertos y servicios detallado en la dirección IP.

<figure><img src="https://469389308-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FbKXfRjFOYJgGlV1An6Cf%2Fuploads%2FKSm8THTfuMpXpN2tg7I7%2Fimage.png?alt=media&#x26;token=fd6222ec-c3d2-4839-9ed8-580a6ff25f94" alt=""><figcaption></figcaption></figure>

Como podemos observar durante el escaneo, el puerto **22** perteneciente al servicio **SSH** y el puerto **80** perteneciente al servicio **HTTP** están abiertos, por lo que se procederá a indagar más.

### 🔎 **EXPLORACIÓN**

Se utiliza el comando:

```bash
sudo nmap -sCV -p22,80 -v 172.17.0.2
```

para obtener más información sobre esos puertos específicamente.

<figure><img src="https://469389308-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FbKXfRjFOYJgGlV1An6Cf%2Fuploads%2Fe2sfVvw9wOtVJWhXUwJM%2Fimage.png?alt=media&#x26;token=581bbf0c-e4b4-4066-bde4-458d9f223f1e" alt=""><figcaption></figcaption></figure>

Seguimos indagando más sobre los puertos y ahora exploramos el servicio **HTTP**. Se ingresó la dirección IP en el navegador, lo que llevó a que la página web sobre que nos han infectado con un virus.

<figure><img src="https://469389308-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FbKXfRjFOYJgGlV1An6Cf%2Fuploads%2F5ucgNolOnd7W49TS6kjd%2Fimage.png?alt=media&#x26;token=81746646-d5f0-4fd2-be7b-c18fbfb9451a" alt=""><figcaption></figcaption></figure>

<figure><img src="https://469389308-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FbKXfRjFOYJgGlV1An6Cf%2Fuploads%2ForwJ6y1qaJITH5fFMir0%2Fimage.png?alt=media&#x26;token=db3ae587-14ab-48af-98d6-e3c0236453d2" alt=""><figcaption></figcaption></figure>

Miramos que hay un archivo `ejemplo.php` que es el que sale cuando pulsamos en ejemplos de computadoras infectadas.&#x20;

Parece que hemos encontrado una advertencia relacionada con un posible ataque. El mensaje menciona un "LeFvIrus", que si observamos las letras en mayúscula, forma "LFI". Esto sugiere que podríamos estar lidiando con una vulnerabilidad de Inclusión de Archivos Locales (Local File Inclusion).

Al acceder a la sección "Ejemplos de computadoras infectadas", somos redirigidos a un archivo `.php` que muestra un mensaje de error: "Error al cargar el archivo". Sin embargo, en la barra de búsqueda se encuentra la siguiente URL:

```bash
http://172.17.0.2/ejemplos.php?images=./ejemplo1.png
```

Podemos experimentar cambiando el valor de `images` de `./ejemplo1.png` a `/etc/passwd`, lo que nos permitiría intentar explotar la vulnerabilidad:

```bash
http://172.17.0.2/ejemplos.php?images=/etc/passwd
```

<figure><img src="https://469389308-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FbKXfRjFOYJgGlV1An6Cf%2Fuploads%2FyLrvX7nKx35tDJe3VwYe%2Fimage.png?alt=media&#x26;token=1381c448-70ba-47b6-8631-fefa49ef3af7" alt=""><figcaption></figcaption></figure>

<figure><img src="https://469389308-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FbKXfRjFOYJgGlV1An6Cf%2Fuploads%2FVAUN2jw0U9i2zZJE2fgv%2Fimage.png?alt=media&#x26;token=db075b6d-f249-442b-8b2d-fec60342bf53" alt=""><figcaption></figcaption></figure>

Al parecer, hemos descubierto a **Nico** que posiblemente sea un usuario, por lo que intentaremos conectarnos a través de **SSH**.

### 🚀 **EXPLOTACIÓN**

Con la información obtenida anteriormente, realizamos el comando:

```bash
hydra -l nico -P /usr/share/wordlists/rockyou.txt ssh://172.17.0.2 -t 5
```

que utiliza la herramienta **Hydra** para realizar un ataque de fuerza bruta contra el servicio **SSH** de una máquina con la IP **172.17.0.2**.&#x20;

Obtuvimos la contraseña que es **lovely.**

<figure><img src="https://469389308-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FbKXfRjFOYJgGlV1An6Cf%2Fuploads%2FmzyRbndmjLwBwJRqR0AP%2Fimage.png?alt=media&#x26;token=aa18964f-8b92-40e9-9b84-37b1b4f0202e" alt=""><figcaption></figcaption></figure>

Al realizar el ataque de fuerza bruta, hemos descubierto la contraseña de ese usuario. Sabiendo esto, nos conectamos a través de **SSH** al usuario con el comando:

```bash
ssh nico@172.17.0.2
```

### 🔐 **PRIVILEGIOS**

Al estar dentro y ejecutar:

```bash
whoami
```

aún no somos **root**, por lo que hacemos:

```bash
sudo -l
```

para ver si hay algo para explotar.

&#x20;Observamos que tenemos permisos para ejecutar el binario `env`con privilegios de **root**. Aprovechando esta oportunidad, utilizamos el siguiente comando:

```bash
sudo env /bin/bash
```

Con esto, obtenemos acceso al **shell** como **root**, adquiriendo privilegios completos en el sistema.