# HereBash

<figure><img src="/files/R4be5sJ3OWsXzwPzvcGG" alt=""><figcaption></figcaption></figure>

## Fase de reconocimiento

`nmap -p- -sSVC --min-rate 5000 192.168.8.114 -oG allPorts -vvv`

Hacemos un escaneo de nmap para ver que puertos tiene abierta está maquina, y son los 22 (SSH) y 80 (HTTP):

<figure><img src="/files/Xpo5eimRFlNmOlJDM0JV" alt=""><figcaption></figcaption></figure>

## Fase de intrusión

En la pagina web principal tan solo encontramos la pagina default de apache, así que voy a usar Gobuster para enumerar posibles directorios ocultos, y encontramos 3 directorios interesantes:

<figure><img src="/files/HI3nZOswRegiRTDVciJW" alt=""><figcaption></figcaption></figure>

Dentro de estos directorios, encuentro a un bob esponja hecho integramente a base de CSS, interesante (Dentro de sponge/uploads hay un imagen), también un texto, no solo eso, en el directorio scripts, encuentro un fichero "put.php" que al parecer podríamos ejecutar comandos.

<figure><img src="/files/LLWqrORc9JtDwaKNeToY" alt=""><figcaption></figcaption></figure>

Trans romperme la cabeza un rato, me di cuenta que no habia que fuzzear el parametro, sino que había que mandar literalmente como dice en las dos páginas web, por eso siempre es importante leer todo bien.

<figure><img src="/files/ZH0NBbSdSpjv0rLcP9UG" alt=""><figcaption></figcaption></figure>

&#x20;Intento mandar con el método POST y GET, pero el que funciona es PUT, y no tiene pinta que podamos ejecutar comandos como incorrectamente pensé anteriormente

<figure><img src="/files/ecQEZsneGnuugZrrceQ4" alt=""><figcaption></figcaption></figure>

He intentado hacer fuerza bruta al puerto ssh con el usuario de spongebob sin exito, así que voy a investigar más a fondo sobre la imagen:

<figure><img src="/files/QHTYiF675e6yzb0hunNV" alt=""><figcaption></figcaption></figure>

Con stegseek logro encontrar un zip dentro de la imagen, pero protegida por contraseña

<figure><img src="/files/1mYEj5rzioVxSiAc0MxF" alt=""><figcaption></figcaption></figure>

Sacamos el hash con zip2john y con john extraemos la contraseña:

<figure><img src="/files/IyQdYiKaxM5dQrlaXzXj" alt=""><figcaption></figcaption></figure>

Extraemos el zip:

<figure><img src="/files/uwCDgo5qHcUl6WWnX9ft" alt=""><figcaption></figcaption></figure>

Ahora vamos a hacer un ataque de fuerza bruta con hydra, teniendo como contraseña los credenciales obtenidos:

<figure><img src="/files/ETYGLtEekCv9H5oiyAc1" alt=""><figcaption></figcaption></figure>

Inicio sesion dentro de rosa por el puerto ssh

## Escala de privilegios

<figure><img src="/files/YY0lfrcaJhjBS9Txyz2G" alt=""><figcaption></figcaption></figure>

Hay un archivo que contiene algo diferente a "xxxxxx:xxxxxx", asi que lo vamos a busar haciendo uso de grep -rv, con -r indicamos que va a buscar de manera recursiva y con v que lo va a hacer de manera silenciosa

<figure><img src="/files/A6ql0G2K7KXEMUZD3wTX" alt=""><figcaption></figcaption></figure>

Me voy a iniciar sesion como pedro, me voy a su directorio y encuentro un archivo sospechoso

<figure><img src="/files/J9Kp9Wens5vUfFOiEmRL" alt=""><figcaption></figcaption></figure>

<figure><img src="/files/9F6k6WUzYdHhyBEYeGP0" alt=""><figcaption></figcaption></figure>

Ahora hago un ls de manera recursiva desde root ya que nos ha dicho que esta fuera de home, añadiendole adiccionalmente un grep para extraer todo lo que tenga nombre juan, y encuentro un archivo que supuestamente segun su nombre tiene la pass

<figure><img src="/files/PfdMLe1tqd1ruSWkbPzY" alt=""><figcaption></figcaption></figure>

<figure><img src="/files/kR3bk4n9VfdDLpt10MK9" alt=""><figcaption></figcaption></figure>

Iniciamos sesión como juan:

<figure><img src="/files/Ts2N40QJWCPelDSyc4y0" alt=""><figcaption></figcaption></figure>

Me voy a el directorio home de juan y me encuentro lo siguiente:

<figure><img src="/files/qiSWm1Rk7m1IWd13fhAc" alt=""><figcaption></figcaption></figure>

Le hago un cat al .bashrc y me encuentro lo siguiente:

<figure><img src="/files/o0RS4awhaFEUH6cxu1Cx" alt=""><figcaption></figcaption></figure>

Iniciamos sesión como root con los credenciales obetenidos y ya seriamos root!

<figure><img src="/files/PTWeySHxaUVfwUNtnCMh" alt=""><figcaption></figcaption></figure>


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://burple.gitbook.io/burple/dockerlabs/medio/herebash.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.