# Hundred

<figure><img src="https://2216970731-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FgI96Zsgdt6Oh2PlOLDwP%2Fuploads%2FqntqxigWR1GsGSpQnjau%2Fimage.png?alt=media&#x26;token=ee5156b9-00bc-47c3-84c9-d16678263704" alt=""><figcaption></figcaption></figure>

## Fase de reconocimiento

Empezamos con un escaneo de nmap que nos revela que los siguientes puertos están abiertos:

* 21 FTP
* 22 SSH
* 80 HTTP

<figure><img src="https://2216970731-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FgI96Zsgdt6Oh2PlOLDwP%2Fuploads%2FqMtga1FiUkHw6cvEuX8K%2Fimage.png?alt=media&#x26;token=a647ab55-2770-48e7-9dff-a0dd73896314" alt=""><figcaption></figcaption></figure>

Hago fuzzing y no encuentro nada relevante en la web:

<figure><img src="https://2216970731-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FgI96Zsgdt6Oh2PlOLDwP%2Fuploads%2FA0W81An0rq5tpW1VOPQ3%2Fimage.png?alt=media&#x26;token=69575f93-9f8c-4694-b38d-26c1924e2f61" alt=""><figcaption></figcaption></figure>

Descargamos todo el contenido del ftp y encontramos que la id\_rsa es una key falsa, el conejo se rie de mi.

<figure><img src="https://2216970731-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FgI96Zsgdt6Oh2PlOLDwP%2Fuploads%2FOBSeKsw1EfSbEG55E8J9%2Fimage.png?alt=media&#x26;token=7b5b2a0e-0ab9-4e7c-aa74-2afe6d426cd2" alt=""><figcaption></figcaption></figure>

## Fase de intrusión

En la web había una imagen así que voy a ver si en su interior contiene algo :

<figure><img src="https://2216970731-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FgI96Zsgdt6Oh2PlOLDwP%2Fuploads%2FXf5DvpNpg6sEXrpPBBld%2Fimage.png?alt=media&#x26;token=d8a25c27-d09f-4041-97c2-e70aa67a5f06" alt=""><figcaption></figcaption></figure>

Con el rockyou no funcionaba, en cambio con los users conseguidos mediante el ftp, sí. Si nos dirigimos a el código fuente de la página web hay una cosa que me llama la atención

<figure><img src="https://2216970731-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FgI96Zsgdt6Oh2PlOLDwP%2Fuploads%2FLckZzYYU3tfROyFUlUYL%2Fimage.png?alt=media&#x26;token=32285ed1-51af-45ae-b855-b3b0d6446aea" alt=""><figcaption></figcaption></figure>

Es un archivo que existe, así vamos a descargarlo y vamos a ver que podemos hacer con el:

<figure><img src="https://2216970731-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FgI96Zsgdt6Oh2PlOLDwP%2Fuploads%2F7CsqHoVp4jhYkxPaQqso%2Fimage.png?alt=media&#x26;token=d3c3493d-40db-430c-94f5-33791c895e18" alt=""><figcaption></figcaption></figure>

Lo que podríamos hacer con este ".enc" sería decodificarlo con openssl con la key privada que hemos obtenido previamente:

<figure><img src="https://2216970731-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FgI96Zsgdt6Oh2PlOLDwP%2Fuploads%2FPjQUV4sVYL6SKxM5pNcq%2Fimage.png?alt=media&#x26;token=fe1addab-e343-4930-b5b5-8fce47cc88f2" alt=""><figcaption></figcaption></figure>

<figure><img src="https://2216970731-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FgI96Zsgdt6Oh2PlOLDwP%2Fuploads%2FP6CQtPehFrnfcJj3GYov%2Fimage.png?alt=media&#x26;token=e9184a8e-9762-42e5-9d9e-8683b08f7dcc" alt=""><figcaption></figcaption></figure>

Nos dirigimos a el interior del directorio y podemos encontrar el siguiente texto, nos disponemos a hacer fuzzing para encontrar posibles archivos:

<figure><img src="https://2216970731-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FgI96Zsgdt6Oh2PlOLDwP%2Fuploads%2Fu89rmhrVDdwX1jRnCiCq%2Fimage.png?alt=media&#x26;token=e9ced62b-4af4-4f1c-b0f6-8a9dd1816f82" alt=""><figcaption></figcaption></figure>

## Escalada de privilegios

Es una key privada, podríamos intentar entrar como el usuario hmv haciendo uso de los credenciales obtenidos mediante escenografía con la imagen de la pagina web

<figure><img src="https://2216970731-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FgI96Zsgdt6Oh2PlOLDwP%2Fuploads%2F72HqNRpDmaHY8RA4cs7v%2Fimage.png?alt=media&#x26;token=eb96fe5a-af96-47cd-8b46-c8597ecdd796" alt=""><figcaption></figcaption></figure>

Podemos editar el /etc/shadow, esto significa que podemos ser root si añadimos nuestro propio hash creado con openssl.

<figure><img src="https://2216970731-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FgI96Zsgdt6Oh2PlOLDwP%2Fuploads%2FosvpbhQsTdftmfpTOwLF%2Fimage.png?alt=media&#x26;token=da6837c0-862b-4d51-b0a3-f84cc73514a4" alt=""><figcaption></figcaption></figure>

<figure><img src="https://2216970731-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FgI96Zsgdt6Oh2PlOLDwP%2Fuploads%2FUKH8VoHAeFTfKv0Hh3vV%2Fimage.png?alt=media&#x26;token=e1da1303-98e0-4c68-9e96-85cd55fb8786" alt=""><figcaption></figcaption></figure>

Obtenemos root!

## Conclusión

En esta máquina, logramos la intrusión y escalada de privilegios aprovechando varias debilidades:

* En el FTP habían unas keys y unos usuarios
* Fuzzing a el directorio encontrado en el código fuente de la web haciendo uso de **gobuster**
* Con **stegseek** miramos el interior de la imagen haciendo uso de uno de los usuarios del FTP
* Una vez dentro del sistema, podíamos editar el /etc/shadow, lo cual nos llevo a ser root.


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://burple.gitbook.io/burple/hackmyvm/facil/hundred.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.