search

flagHostname HackMyVM (Easy- Linux)

hashtag
Escaneo de puertos

nmap -p- --open -sS --min-rate 5000 -vvv -n -Pn <IP>
nmap -sCV -p<PORTS> <IP>

Info:

Starting Nmap 7.94SVN ( https://nmap.org ) at 2025-04-20 03:12 EDT
Nmap scan report for 192.168.1.154
Host is up (0.00030s latency).

PORT   STATE SERVICE VERSION
22/tcp open  ssh     OpenSSH 8.4p1 Debian 5 (protocol 2.0)
| ssh-hostkey: 
|   3072 27:71:24:58:d3:7c:b3:8a:7b:32:49:d1:c8:0b:4c:ba (RSA)
|   256 e2:30:67:38:7b:db:9a:86:21:01:3e:bf:0e:e7:4f:26 (ECDSA)
|_  256 5d:78:c5:37:a8:58:dd:c4:b6:bd:ce:b5:ba:bf:53:dc (ED25519)
80/tcp open  http    nginx 1.18.0
|_http-title: Panda
|_http-server-header: nginx/1.18.0
MAC Address: 08:00:27:4A:DF:6D (Oracle VirtualBox virtual NIC)
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel

Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 6.61 seconds

Si entramos en el puerto 80 veremos que esta alojada una pagina web en la que contiene lo siguiente:

Veremos que tenemos que introducir una palabra secreta para descubrir algo, por lo que vamos a realizar un poco de fuzzing a ver que encontramos.

hashtag
Gobuster

Info:

Pero no veremos nada interesante, ahora si inspeccionamos el codigo veremos este bloque de HTML:

Vemos que el nombre de usuario es po por lo que parece:

Y que la posible contraseña a lo mejor puede ser esta parte de aqui:

Vamos a decodificar ese Base64 de la siguiente forma:

Info:

Por lo que vemos esa puede ser la clave secreta, vamos a ver si funciona metiendolo en la pagina.

Pero veremos que no funciona el boton, si volvemos a inspeccionar el codigo vemos que pone dissable en el boton una funciona que puede estar dando fallo a la hora de clickarlo, por lo que vamos a eliminar dicha funcion desde el codigo inspeccionandolo y enviaremos la palabra secreta:

De estar asi:

Ha estar asi:

Ahora pondremos la palabra secreta y le daremos al boton, con ello veremos lo siguiente:

Vemos que ha funcionado y nos muestra otra palabra la cual puede ser la contraseña del usuario po para conectarnos por SSH, por lo que haremos lo siguiente:

hashtag
SSH

Metemos como contraseña !ts-bl4nk y veremos que estamos dentro.

hashtag
Escalate user oogway

Vamos a enumerar el sistema lanzando el famosos script de linpeas.sh, primero nos lo descargaremos en nuestra maquina host de la siguiente forma:

URL = GitHub Linpeas.sharrow-up-right

Y ahora abriremos un servidor de python3 para pasarnoslo de la siguiente forma:

HOST

MAQUINA VICTIMA

Echo esto le daremos permisos de ejecuccion al script y seguidamente lo ejecutaremos de una:

Echo esto veremos una cosa bastante interesante:

Vemos que en la carpeta sudoers.d del archivo que contiene llamado po esta la siguiente linea, por lo que vamos a probar a realizar lo siguiente:

Info:

Con esto veremos que funciono correctamente y seremos dicho usuario, por lo que leeremos la flag del usuario.

user.txt

hashtag
Escalate Privileges

Vamos a ver los procesos que pasan en la maquina con una herramienta llamada pspy64, nos la descargaremos en el siguiente link:

URL = Download pspy64 GitHubarrow-up-right

Una vez descargada, vamos abrirnos un servidor de python3 para pasarnos la herramienta:

HOST

MAQUINA VICTIMA

Echo esto le daremos permisos de ejecuccion al script:

Ahora vamos a ejecutarlo de la siguiente forma:

Info:

Veremos varias cosas interesantes entre ellas que se esta ejecutando un crontab y esta haciendo lo siguiente:

Por lo que veremos aqui se podria intentar hacer un ataque llamado Tar arbitrary command execution, y podremos hacerlo de la siguiente forma:

URL = Referencia de la vulnerabilidad y el ataquearrow-up-right

Ahora tendremos que esperar estando a la escucha:

Una vez esperado un rato, si volvemos a donde tenemos la escucha veremos lo siguiente:

Por lo que vemos habremos obtenido acceso a una shell de root por lo que leeremos la flag de root.

root.txt

PreviousMethod HackMyVM (Easy- Linux)NextBaseME HackMyVM (Easy- Linux)

Last updated