Shop Vulnyx (Easy - Linux)
Escaneo de puertos
nmap -p- --open -sS --min-rate 5000 -vvv -n -Pn <IP>nmap -sCV -p<PORTS> <IP>Info:
Starting Nmap 7.95 ( https://nmap.org ) at 2025-08-10 03:23 EDT
Nmap scan report for 192.168.5.74
Host is up (0.0021s latency).
PORT STATE SERVICE VERSION
22/tcp open ssh OpenSSH 7.9p1 Debian 10+deb10u2 (protocol 2.0)
| ssh-hostkey:
| 2048 ce:24:21:a9:2a:9e:70:2a:50:ae:d3:d4:31🆎01:ba (RSA)
| 256 6b:65:3b:41:b3:63:0b:12:ba:d3:69:ac:14:de:39:7f (ECDSA)
|_ 256 04:cb:d9:9b:40:cc:28:58:fc:03:e7:4f:f7:6a:e5:72 (ED25519)
80/tcp open http Apache httpd 2.4.38 ((Debian))
|_http-title: VulNyx Shop
|_http-server-header: Apache/2.4.38 (Debian)
MAC Address: 08:00:27:C3:30:90 (PCS Systemtechnik/Oracle VirtualBox virtual NIC)
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel
Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 7.25 secondsVeremos un puerto 80 bastante interesante en el que aloja una pagina web, si entramos dentro de la misma veremos una tienda de ropa para comprar articulos, pero nada fuera de lo normal, vamos a realizar un poco de fuzzing a ver que encontramos.
Gobuster
Info:
Veremos un directorio interesante llamado administrator vamos a ver que contiene si entramos.
Veremos un panel de login simple, vamos a probar algunas credenciales por defecto, pero veremos que no nos sirve de nada, si probamos alguna injeccion de SQL super simple para ver algun comportamiento extraño como estos de aqui:
No hace nada, pero si probamos este otro payload:
Veremos que con esto si funciona y estaria cargando unos 10 segundos, por lo que es vulnerable a un SQLi, vamos a utilizar una herramienta que nos automatiza todo esto.
Antes vamos abrir BurpSuite para capturar la peticion (Request) de la pagina del login y utilizarlo con sqlmap, una vez que la tengamos tendremos que ver algo asi:
request.txt
Ahora vamos a utilizar sqlmap de esta forma:
Escalate user bart
sqlmap
Info:
Vemos que ha funcionado, por lo que vamos a ver que contiene la DDBB llamada Webapp de esta forma.
Info:
Veremos una tabla llamada Users bastante interesante, por lo que vamos a ver que contiene dentro de la propia tabla directamente con el siguiente comando:
Info:
Veremos que hemos sacados las credenciales de dichos usuarios, por lo que vamos a crearnos un listado de usuarios y contraseñas para probarlas directamente en SSH a ver si hay suerte.
users.txt
pass.txt
Hydra
Info:
SSH
Metemos como contraseña b4rtp0w4 y veremos que estaremos dentro.
Info:
Ahora leeremos la flag del usuario.
user.txt
Escalate Privileges
Ahora si listamos las capabilities de dicho usuario del sistema veremos lo siguiente:
Info:
Veremos cosas ineteresantes como que por ejemplo tenemos esos privilegios especiales en el binario perl por lo que podremos aprovechar eso poniendo dicho comando:
Info:
Con esto veremos que seremos root ya directamente, por lo que vamos a leer la flag de root.
root.txt
Last updated