Quick3 HackMyVM (Easy - Linux)

Escaneo de puertos

nmap -p- --open -sS --min-rate 5000 -vvv -n -Pn <IP>
nmap -sCV -p<PORTS> <IP>

Info:

Starting Nmap 7.95 ( https://nmap.org ) at 2025-07-21 03:55 EDT
Nmap scan report for 192.168.1.146
Host is up (0.00099s latency).

PORT   STATE SERVICE VERSION
22/tcp open  ssh     OpenSSH 8.9p1 Ubuntu 3ubuntu0.6 (Ubuntu Linux; protocol 2.0)
| ssh-hostkey: 
|   256 2e:7a:1f:17:57:44:6f:7f:f9:ce:ab:a1:4f💿c7:19 (ECDSA)
|_  256 93:7e:d6:c9:03:5b:a1:ee:1d:54:d0:f0:27:0f:13:eb (ED25519)
80/tcp open  http    Apache httpd 2.4.52 ((Ubuntu))
|_http-title: Quick Automative - Home
|_http-server-header: Apache/2.4.52 (Ubuntu)
MAC Address: 08:00:27:28:12:35 (PCS Systemtechnik/Oracle VirtualBox virtual NIC)
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel

Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 7.44 seconds

Veremos un puerto 80 en el que aloja una pagina web, si entramos dentro de la misma veremos una pagina de coches normales en el que aparentemente no veremos nada interesante, por lo que vamos a realizar un poco de fuzzing.

Si le damos a Make Appointment veremos que nos lleva como a un login pero nos podremos crear una cuenta, por lo que vamos a crearnosla.

Una vez que nos la hayamos creado y nos hayamos logueado, veremos un panel de usuario normal y corriente, pero si nos vamos a MyProfile veremos en la URL algo peculiar y es lo siguiente:

Vemos que esta exponiendo el id por lo que podremos intentar realizar un IDOR para enumerar usuario y con ello su informacion incluyendo las contraseñas, para crearnos un diccionario personalizado de lo que recolectemos.

Si probamos a meter lo siguiente:

Veremos que funciona y nos esta mostrando la informacion del usuario quick, para poder ver la password podremos cambiar el campo de password a text de esta forma:

En ese campo pondremos text quedando asi:

Por lo que estaremos viendo la contraseña de dicho usuario, tendremos que realizar esto con los 28 usuarios que pueden estar logueados, por lo que vamos a crearnos un pequeño script de bash de esta forma:

searchInfo.sh

Cambiamos la <IP> por la nuestra real de la maquina victima, ahora lo ejecutaremos de esta forma:

Info:

Esto lo guardara los nombre de usuario en un users.txt y las contraseñas en un pass.txt de forma automatica, quedando algo asi:

users.txt

pass.txt

Ahora vamos a realizar un ataque de fuerza bruta con hydra por SSH de esta forma:

Escalate user mike

Hydra

Info:

Con esto veremos que ha funcionado y habremos descubierto las credenciales del usuario mike, por lo que vamos a conectarnos por SSH.

SSH

Metemos como contraseña 6G3UCx6aH6UYvJ6m y veremos que estaremos dentro, por lo que leeremos la flag del usuario.

user.txt

Escalate Privileges

Primero haremos bash para salir de la restriccion de rbash en la que estamos.

Si buscamos un poco, en la seccion de /var/www/html vamos a buscar el siguiente archivo que suele ser el que almacena las contraseñas en la DDBB para la aplicacion.

Info:

Vemos que la primera linea es la que nos interesa, por lo que vamos a leerlo.

Info:

Vemos informacion bastante interesante, en la cual estamos viendo una password que es de root, por lo que vamos a probar si a nivel de sistema tambien tuviera la misma.

Metemos como contraseña fastandquicktobefaster...

Info:

Veremos que ha funcionado, por lo que seremos dicho usuario y leeremos la flag de root.

root.txt

PreviousQuick2 HackMyVM (Easy - Linux)NextQuick4 HackMyVM (Easy - Linux)

Last updated