Art HackMyVM (Easy - Linux)
Escaneo de puertos
nmap -p- --open -sS --min-rate 5000 -vvv -n -Pn <IP>nmap -sCV -p<PORTS> <IP>Info:
Starting Nmap 7.95 ( https://nmap.org ) at 2025-06-19 03:22 EDT
Nmap scan report for 192.168.5.42
Host is up (0.00067s latency).
PORT STATE SERVICE VERSION
22/tcp open ssh OpenSSH 8.4p1 Debian 5+deb11u1 (protocol 2.0)
| ssh-hostkey:
| 3072 45:42:0f:13:cc:8e:49:dd:ec:f5:bb:0f:58:f4:ef:47 (RSA)
| 256 12:2f:a3:63:c2:73:99:e3:f8:67:57🆎29:52:aa:06 (ECDSA)
|_ 256 f8:79:7a:b1:a8:7e:e9:97:25:c3:40:4a:0c:2f:5e:69 (ED25519)
80/tcp open http nginx 1.18.0
|_http-server-header: nginx/1.18.0
|_http-title: Site doesn't have a title (text/html; charset=UTF-8).
MAC Address: 08:00:27:44:E2:91 (PCS Systemtechnik/Oracle VirtualBox virtual NIC)
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel
Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 7.05 secondsVeremos el puerto 80 que aloja una pagina web, si entramos a ella veremos varias imagenes pero nada interesantes, por lo que vamos a realizar un poco de fuzzing a ver que encontramos.
Gobuster
Info:
Pero no veremos nada interesante, si inspeccionamos el codigo de la pagina veremos lo siguiente:
Veremos que nos esta dando una pista del parametro tag por lo que vamos a intentar realizar una busqueda de algun LFI con dicho parametro.
Pero veremos que no tendremos exito por lo que vamos a probar a realizar un SQLi desde el parametro a ver si hay suerte.
sqlmap
Vamos abrir BurpSuite, desde la URL pondremos lo siguiente:
Estando a la escucha de cualquier peticion con BurpSuite capturaremos la peticion dandole a enviar, quedando algo asi:
request.txt
Ahora vamos a ejecutar el sqlmap a ver si encuentra algo...
Info:
Vemos que ha funcionado, por lo que nos interesa la DDBB llamada gallery, vamos a ver que tablas tiene.
Info:
Veremos que hay 2 tablas bastante interesantes, vamos a extraer la informacion de la de users a ver que vemos.
Info:
Veremos que tendremos varias credenciales, pero si las probamos por SSH veremos que no nos sirve ninguna, por lo que vamos a investigar la otra tabla de la DDBB.
Info:
Veremos que hay una imagen que nos llama la atencion y es la llamada dsa32.jpg ya que es la unica que en el tag tiene otro nombre, vamos a ver si podemos sacarla algo de informacion desde la propia imagen.
Escalate user lion
steghide
Nos aparece dicha imagen, por lo que vamos a descargarnosla, una vez echo eso, vamos a utilizar la herramienta steghide para poder extraer algun archivo si contuviera alguno de esta forma.
Dejamos la contraseña vacia...
Info:
Veremos que efectivamente nos extrajo un archivo llamado yes.txt, si lo leemos veremos que contiene lo siguiente:
Vamos a probar dichas credenciales mediante el SSH.
SSH
Metemos como contraseña shel0vesyou y veremos que estamos dentro.
Info:
Por lo que leeremos la flag del usuario.
user.txt
Escalate Privileges
Si hacemos sudo -l veremos lo siguiente:
Vemos que podemos ejecutar el binario wtfutil como el usuario root, por lo que podremos hacer lo siguiente.
Sabemos que el binario puede cargar archivos de configuracion en .yml por lo que si podemos ejecutarlo como root podremos crear un config.yml en el que ejecute un comando que nosotros queramos, vamos a buscar un ejemplo de .yml a ver que encontramos.
URL = Ejemplo de config.yml GitHub
En ese ejemplo podremos ver como ejecuta comandos desde la configuracion, por lo que nosotros vamos a crear algo asi.
Lo guardamos y ejecutamos el binario wtfutil para que cargue dicha configuracion de la siguiente forma:
Una vez que lo ejecutemos veremos que nos aparece una interfaz grafica en terminal de nuestro comando ejecutado y del codigo con numero 1 que significa que se ejecuto de forma exitosa, por lo que haremos Ctrl+C y probaremos a listar la bash.
Info:
Veremos que se ha ejecutado de forma correcta por lo que podremos ser root de esta forma.
Info:
Con esto ya seremos root, por lo que leeremos la flag de root.
root.txt
Last updated