Hundred

Fase de reconocimiento

Empezamos con un escaneo de nmap que nos revela que los siguientes puertos están abiertos:

• 21 FTP

• 22 SSH

• 80 HTTP

Hago fuzzing y no encuentro nada relevante en la web:

Descargamos todo el contenido del ftp y encontramos que la id_rsa es una key falsa, el conejo se rie de mi.

Fase de intrusión

En la web había una imagen así que voy a ver si en su interior contiene algo :

Con el rockyou no funcionaba, en cambio con los users conseguidos mediante el ftp, sí. Si nos dirigimos a el código fuente de la página web hay una cosa que me llama la atención

Es un archivo que existe, así vamos a descargarlo y vamos a ver que podemos hacer con el:

Lo que podríamos hacer con este ".enc" sería decodificarlo con openssl con la key privada que hemos obtenido previamente:

Nos dirigimos a el interior del directorio y podemos encontrar el siguiente texto, nos disponemos a hacer fuzzing para encontrar posibles archivos:

Escalada de privilegios

Es una key privada, podríamos intentar entrar como el usuario hmv haciendo uso de los credenciales obtenidos mediante escenografía con la imagen de la pagina web

Podemos editar el /etc/shadow, esto significa que podemos ser root si añadimos nuestro propio hash creado con openssl.

Obtenemos root!

Conclusión

En esta máquina, logramos la intrusión y escalada de privilegios aprovechando varias debilidades:

• En el FTP habían unas keys y unos usuarios

• Fuzzing a el directorio encontrado en el código fuente de la web haciendo uso de gobuster

• Con stegseek miramos el interior de la imagen haciendo uso de uno de los usuarios del FTP

• Una vez dentro del sistema, podíamos editar el /etc/shadow, lo cual nos llevo a ser root.