Comingsoon HackMyVM (Easy - Linux)
Escaneo de puertos
nmap -p- --open -sS --min-rate 5000 -vvv -n -Pn <IP>nmap -sCV -p<PORTS> <IP>Info:
Starting Nmap 7.95 ( https://nmap.org ) at 2025-05-16 02:57 EDT
Nmap scan report for 192.168.5.18
Host is up (0.00053s latency).
PORT STATE SERVICE VERSION
22/tcp open ssh OpenSSH 8.4p1 Debian 5 (protocol 2.0)
| ssh-hostkey:
| 3072 bc:fb:ec:b8:93:d4:e2:78:76:eb:1b:dc:4b:a7:7f:9b (RSA)
| 256 31:41:a0:d7:e9:3c:79:11:c2:f0:81:a0:fe:2d:f9:b0 (ECDSA)
|_ 256 c9:34:17:00:31:75:4d:c0:3a:a5:b1:16:36:0d:bb:18 (ED25519)
80/tcp open http Apache httpd 2.4.51 ((Debian))
|_http-title: Bolt - Coming Soon Template
|_http-server-header: Apache/2.4.51 (Debian)
MAC Address: 08:00:27:71:32:88 (PCS Systemtechnik/Oracle VirtualBox virtual NIC)
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel
Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 7.25 secondsVeremos un puerto 80 en el que tiene alojado una pagina web, si entramos a dicha pagina web veremos que hay un contador de que la pagina se estrenara en 15 dias, por lo que vamos a realizar un poco de fuzzing a ver que encontramos.
Gobuster
Info:
Vemos varias cosas interesante, vamos a ver que contiene notes.txt y license.txt.
notes.txt
license.txt
No veremos gran informacion, pero si entendemos que por detras la pagina tiene que tener un mecanismo de subir imagenes, ya que en notes.txt comentan que hay algo para subir imagenes, por lo que vamos a seguir investigando.
Vamos abrir BurpSuite y vamos a ver que esta sucediendo a nivel de peticion todo lo de la pagina principal.
Una vez que estemos a la escucha con BurpSuite y recarguemos la pagina principal, habremos capturado una peticion asi:
Veremos una cosa interesante y es que tenemos establecida una Cookie que esta codificada, vamos a probar a decodificarla.
Si la decodificamos veremos false simplemente eso, vamos a inspeccionar la pagina y mirar que vemos en un comentario.
Vemos que si activamos algo se nos habilita algo para subir imagenes, si inspeccionamos la pagina y nos vamos a la seccion Storage de ahi a Cookies veremos lo siguiente:
Vamos a decodificar todo esto:
Vemos que se esta refiriendo a la Cookie por lo que vamos a modificarla de esta forma, vamos a codificar en Base64 la palabra true y veremos esto:
Ahora en la seccion de Cookie vamos a modificar el Value y vamos a pegar ese fragmento modificado:
Con esto estableceremos en true dicha Cookie, ahora si le damos a ENTER y vemos la pagina veremos el siguiente boton.
Si le damos nos llevara a una seccion para poder subir un archivo, vamos a probar a subir un archivo .php con una reverse shell.
Escalate user www-data
webshell.php
Si intentamos subir dicho archivo veremos esto:
Vemos que lo esta securizando, por lo que vamos a probar extensiones de PHP pero para bypassearlo.
Vamos a probar con .phtml.
Ahora vamos a probar a subirlo de nuevo a ver si nos deja.
Veremos que con esto si que nos dejara y nos llevara de forma automatica a /assets/img/ donde estara el archivo subido.
Antes de entrar en dicho archivo, vamos a ponernos a la escucha.
Ahora si entramos en el archivo que esta subida a la web y volvemos a donde tenemos la escucha veremos lo siguiente:
Vemos que ha funcionado, por lo que sanitizaremos la shell.
Sanitización de shell (TTY)
Escalate user scpuser
Si listamos la siguiente ruta veremos lo siguiente:
Info:
Vemos cosas interesantes, pero entre ellas el siguiente archivo:
Ese archivo no suele estar por defecto, por lo que vamos a copiarnoslo a la carpeta /tmp y vamos a descomprimirlo a ver que tiene.
Info:
Vemos que nos ha descomprimido la pagina web en si y despues en la carpeta /etc vemos cosas interesantes, dos archivos y uno de ellos es el shadow por lo que vamos a pasarnoslo a la maquina host mediante un servidor de python3.
Ahora desde la maquina host nos lo descargaremos con wget.
Una vez echo esto, vamos a intentar crackear las contraseñas que haya en el shadow con john.
hash
Info:
Veremos que ha funcionado, hemos encontrados las credenciales del usuario scpuser, por lo que vamos a escalar con dicho usuario.
Metemos como contraseña tigger y veremos que estaremos dentro, por lo que leeremos la flag del usuario.
user.txt
Escalate Privileges
Vemos que en la /home del propio usuario hay un archivo bastante interesante llamado .oldpasswords si lo leemos veremos lo siguiente:
Vemos lo que parecen contraseñas basadas en titulos de peliculas con los numeros pegados sin espacios, si probamos todas las contraseñas con el usuario root veremos que no funcionara, por lo que vamos a buscar en internet la misma tematica de contraseñas buscando Las 100 mejores peliculas animadas y veremos lo siguiente:
URL = 100 mejores peliculas animadas
Vamos a coger las 5 primeras y vamos a crear un diccionario de ello poniendo los 5 primeros numeros a cada uno de ellos sin espacios quedando algo asi:
dic.txt
Ahora vamos a descargarnos un script para realizar fuerza bruta hacia el usuario root.
URL = Download Linux-Su-Force.sh
Una vez que lo hayamos copiado y pegado en la carpeta /tmp de la maquina victima, lo ejecutaremos de la siguiente forma.
Info:
Vemos que hemos encontrado la contraseña, por lo que vamos a escalar a root.
Metemos como contraseña ToyStory3 y veremos que estamos dentro.
Info:
Por lo que vamos a leer la flag de root.
root.txt
Last updated