Hommie

Fase de reconocimiento
Nmap
Primero empezamos con un escaneo de nmap para revelar los puertos expuestos:
21 FTP
22 SSH
80 HTTP

Gobuster ❌
En la web encuentro lo siguiente (No encuentro nada en el código fuente), hago fuzzing también pero no encuentro nada:

En el FTP veo que podemos iniciar sesión como anónimo y subir archivos en la carpeta .web, los que hay alojados no contienen nada interesante:

Fase de intrusión
Webshell ❌
He intentado subir una webshell pero no funciona...
Nmap
He pensado que quizas hay algun puerto UDP que no hayamos detectado con nmap antes, así que vuelvo a hacer otro escaneo de nmap pero esta vez enfocado en los puertos UDP y hay 2 abiertos que me llaman la atención

Iniciamos sesión en tftp y nos descargamos la id_rsa de la cual antes nos habían dicho en la web que era de alexia:

Escalada de privilegios
Inicio sesión en SSH como alexia con la id_rsa y encuentro en el /opt algo bastante relevante:

$PATH Hijacking
Lo corro y veo que lo unico que hace es enseñarme la key que ya tenemos, hago un strings para ver cadenas de texto legible del binario y hace un cat... Se me ocurre un PATH Hijacking ya que el esta llamando a cat, pero si añadimos un "cat" a nuestro PATH le podríamos engañar para que ejecutara comandos de un archivo:


La flag de root esta escondida pero con find la encontramos rápidamente:

Conclusión
Ha sido una máquina que ha estado bien para refrescar conceptos como el escaneo de puertos UDP o el Path Hijacking, muy chula!
Last updated