Starting Nmap 7.95 ( https://nmap.org ) at 2025-05-22 03:16 EDT
Nmap scan report for 192.168.5.26
Host is up (0.00058s latency).
PORT STATE SERVICE VERSION
22/tcp open ssh OpenSSH 8.4p1 Debian 5 (protocol 2.0)
| ssh-hostkey:
| 3072 9e:f1:ed:84:cc:41:8c:7e:c6:92:a9:b4:29:57:bf:d1 (RSA)
| 256 9f:f3:93:db:72:ff:cd:4d:5f:09:3e:dc:13:36:49:23 (ECDSA)
|_ 256 e7:a3:72:dd:d5:af:e2:b5:77:50:ab:3d:27:12:0f:ea (ED25519)
80/tcp open http Apache httpd 2.4.51 ((Debian))
|_http-server-header: Apache/2.4.51 (Debian)
|_http-title: Cours PHP & MySQL
MAC Address: 08:00:27:30:EE:02 (PCS Systemtechnik/Oracle VirtualBox virtual NIC)
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel
Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 7.18 seconds
Veremos que hay un puerto 80 en el que habra una pagina web alojada, si nosotros entramos dentro de dicha pagina veremos que esta como en construccion, por lo que no veremos nada interesante, vamos a realizar un poco de fuzzing a ver que encontramos.
Gobuster
Info:
Veremos un archivo interesante llamado /sshnote.txt por lo que vamos a entrar dentro de dicho archivo a ver que encontramos.
Info:
Vemos que hemos encontrado un nombre de usuario el cual nos puede servir, pero a parte vemos en el mensaje que la clave RSA del usuario sophie le faltan tres letras mayusculas que son * por eso cuando la encontremos tendremos que montarnos un script en python3 para poder descubrirlo.
Si inspeccionamos la pagina y nos vamos a la seccion de Cookies veremos esto interesante.
Vemos que hay un codigo codificado en base64 y si lo decodificamos veremos esto:
Info:
Veremos lo que parece ser un archivo de una ruta web, por lo que vamos a probarlo.
Escalate user sophie
Info:
Veremos que aqui esta el RSA pero le faltan 3 letras mayusculas que son los ***, por lo que vamos a montarnos un script de la siguiente forma:
generateRSA.py
Info:
bruteRSA.py
Info:
Veremos que la clave correcta es la de las letras BOM por lo que haremos lo siguiente:
Info:
Veremos que estaremos dentro por lo que leeremos la flag del usuario.
user.txt
Escalate Privileges
Si hacemos sudo -l veremos lo siguiente:
Vemos que podemos ejecutar el binario chgrp como el usuario root por lo que haremos lo siguiente:
Vamos a cambiar el grupo del archivo shadow por el de nuestro nombre con otro archivo que hayamos creado.
Info:
Veremos que ha funcionado por lo que vamos a intentar crackear la contraseña de root a ver si funciona.
hash.root
Info:
Veremos que ha funcionado por lo que escalaremos a root con dicha contraseña.
Metemos como contraseña barbarita...
Y veremos que seremos el usuario root por lo que vamos a leer la flag de root.
Linux debian 5.10.0-9-amd64 #1 SMP Debian 5.10.70-1 (2021-09-30) x86_64
The programs included with the Debian GNU/Linux system are free software;
the exact distribution terms for each program are described in the
individual files in /usr/share/doc/*/copyright.
Debian GNU/Linux comes with ABSOLUTELY NO WARRANTY, to the extent
permitted by applicable law.
Last login: Thu May 22 09:49:01 2025 from 192.168.5.4
sophie@debian:~$ whoami
sophie
a99ac9055a3e60a8166cdfd746511852
Matching Defaults entries for sophie on debian:
env_reset, mail_badpass, secure_path=/usr/local/sbin\:/usr/local/bin\:/usr/sbin\:/usr/bin\:/sbin\:/bin
User sophie may run the following commands on debian:
(ALL : ALL) NOPASSWD: /usr/bin/chgrp
john --format=crypt --wordlist=<WORDLIST> hash.root
Using default input encoding: UTF-8
Loaded 1 password hash (crypt, generic crypt(3) [?/64])
Cost 1 (algorithm [1:descrypt 2:md5crypt 3:sunmd5 4:bcrypt 5:sha256crypt 6:sha512crypt]) is 2 for all loaded hashes
Cost 2 (algorithm specific iterations) is 1 for all loaded hashes
Will run 4 OpenMP threads
Press 'q' or Ctrl-C to abort, almost any other key for status
barbarita (root)
1g 0:00:00:00 DONE (2025-05-22 03:56) 1.449g/s 41321p/s 41321c/s 41321C/s chiquititas..281086
Use the "--show" option to display all of the cracked passwords reliably
Session completed.
