Hommie

Fase de reconocimiento

Nmap

Primero empezamos con un escaneo de nmap para revelar los puertos expuestos:

• 21 FTP

• 22 SSH

• 80 HTTP

Gobuster ❌

En la web encuentro lo siguiente (No encuentro nada en el código fuente), hago fuzzing también pero no encuentro nada:

En el FTP veo que podemos iniciar sesión como anónimo y subir archivos en la carpeta .web, los que hay alojados no contienen nada interesante:

Fase de intrusión

Webshell ❌

He intentado subir una webshell pero no funciona...

Nmap

He pensado que quizas hay algun puerto UDP que no hayamos detectado con nmap antes, así que vuelvo a hacer otro escaneo de nmap pero esta vez enfocado en los puertos UDP y hay 2 abiertos que me llaman la atención

Iniciamos sesión en tftp y nos descargamos la id_rsa de la cual antes nos habían dicho en la web que era de alexia:

Escalada de privilegios

Inicio sesión en SSH como alexia con la id_rsa y encuentro en el /opt algo bastante relevante:

$PATH Hijacking

Lo corro y veo que lo unico que hace es enseñarme la key que ya tenemos, hago un strings para ver cadenas de texto legible del binario y hace un cat... Se me ocurre un PATH Hijacking ya que el esta llamando a cat, pero si añadimos un "cat" a nuestro PATH le podríamos engañar para que ejecutara comandos de un archivo:

La flag de root esta escondida pero con find la encontramos rápidamente:

Conclusión

Ha sido una máquina que ha estado bien para refrescar conceptos como el escaneo de puertos UDP o el Path Hijacking, muy chula!