Hostname HackMyVM (Easy- Linux)
Escaneo de puertos
nmap -p- --open -sS --min-rate 5000 -vvv -n -Pn <IP>nmap -sCV -p<PORTS> <IP>Info:
Starting Nmap 7.94SVN ( https://nmap.org ) at 2025-04-20 03:12 EDT
Nmap scan report for 192.168.1.154
Host is up (0.00030s latency).
PORT STATE SERVICE VERSION
22/tcp open ssh OpenSSH 8.4p1 Debian 5 (protocol 2.0)
| ssh-hostkey:
| 3072 27:71:24:58:d3:7c:b3:8a:7b:32:49:d1:c8:0b:4c:ba (RSA)
| 256 e2:30:67:38:7b:db:9a:86:21:01:3e:bf:0e:e7:4f:26 (ECDSA)
|_ 256 5d:78:c5:37:a8:58:dd:c4:b6:bd:ce:b5:ba:bf:53:dc (ED25519)
80/tcp open http nginx 1.18.0
|_http-title: Panda
|_http-server-header: nginx/1.18.0
MAC Address: 08:00:27:4A:DF:6D (Oracle VirtualBox virtual NIC)
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel
Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 6.61 secondsSi entramos en el puerto 80 veremos que esta alojada una pagina web en la que contiene lo siguiente:
Veremos que tenemos que introducir una palabra secreta para descubrir algo, por lo que vamos a realizar un poco de fuzzing a ver que encontramos.
Gobuster
Info:
Pero no veremos nada interesante, ahora si inspeccionamos el codigo veremos este bloque de HTML:
Vemos que el nombre de usuario es po por lo que parece:
Y que la posible contraseña a lo mejor puede ser esta parte de aqui:
Vamos a decodificar ese Base64 de la siguiente forma:
Info:
Por lo que vemos esa puede ser la clave secreta, vamos a ver si funciona metiendolo en la pagina.
Pero veremos que no funciona el boton, si volvemos a inspeccionar el codigo vemos que pone dissable en el boton una funciona que puede estar dando fallo a la hora de clickarlo, por lo que vamos a eliminar dicha funcion desde el codigo inspeccionandolo y enviaremos la palabra secreta:
De estar asi:
Ha estar asi:
Ahora pondremos la palabra secreta y le daremos al boton, con ello veremos lo siguiente:
Vemos que ha funcionado y nos muestra otra palabra la cual puede ser la contraseña del usuario po para conectarnos por SSH, por lo que haremos lo siguiente:
SSH
Metemos como contraseña !ts-bl4nk y veremos que estamos dentro.
Escalate user oogway
Vamos a enumerar el sistema lanzando el famosos script de linpeas.sh, primero nos lo descargaremos en nuestra maquina host de la siguiente forma:
URL = GitHub Linpeas.sh
Y ahora abriremos un servidor de python3 para pasarnoslo de la siguiente forma:
HOST
MAQUINA VICTIMA
Echo esto le daremos permisos de ejecuccion al script y seguidamente lo ejecutaremos de una:
Echo esto veremos una cosa bastante interesante:
Vemos que en la carpeta sudoers.d del archivo que contiene llamado po esta la siguiente linea, por lo que vamos a probar a realizar lo siguiente:
Info:
Con esto veremos que funciono correctamente y seremos dicho usuario, por lo que leeremos la flag del usuario.
user.txt
Escalate Privileges
Vamos a ver los procesos que pasan en la maquina con una herramienta llamada pspy64, nos la descargaremos en el siguiente link:
URL = Download pspy64 GitHub
Una vez descargada, vamos abrirnos un servidor de python3 para pasarnos la herramienta:
HOST
MAQUINA VICTIMA
Echo esto le daremos permisos de ejecuccion al script:
Ahora vamos a ejecutarlo de la siguiente forma:
Info:
Veremos varias cosas interesantes entre ellas que se esta ejecutando un crontab y esta haciendo lo siguiente:
Por lo que veremos aqui se podria intentar hacer un ataque llamado Tar arbitrary command execution, y podremos hacerlo de la siguiente forma:
URL = Referencia de la vulnerabilidad y el ataque
Ahora tendremos que esperar estando a la escucha:
Una vez esperado un rato, si volvemos a donde tenemos la escucha veremos lo siguiente:
Por lo que vemos habremos obtenido acceso a una shell de root por lo que leeremos la flag de root.
root.txt
Last updated