# Pwned

<figure><img src="/files/xYfQ1BDhME0JtQgCJMFT" alt=""><figcaption></figcaption></figure>

## Fase de reconocimiento

### Nmap

Hacemos un escaneo de nmap para ver los puertos abiertos y nos encontramos con:

* 21 FTP
* 22 SSH
* 80 HTTP

<figure><img src="/files/dZAA0X4w0xZfaCuVzofW" alt=""><figcaption></figcaption></figure>

Intento entrar al FTP pero me pide credenciales, en la web podemos ver lo siguiente:

<figure><img src="/files/1PYqYvRaYHFo3lKkXoYt" alt=""><figcaption></figcaption></figure>

En el código fuente encontramos lo siguiente:

<figure><img src="/files/rwqpj56tF20adh0Teg8D" alt=""><figcaption></figcaption></figure>

## Fase de intrusión

### Gobuster

Hacemos fuzzing con gobuster para descubrir posibles ficheros y archivos. Y la verdad es que encontramos bastante cosas:

<figure><img src="/files/ota7yv2NfU3MOaYpdUMq" alt=""><figcaption></figcaption></figure>

En el nothing aparentemente no hay nada:

<figure><img src="/files/4ETfylh1kZWbaQ4H44mx" alt=""><figcaption></figcaption></figure>

En el robots realmente no encontramos nada relevante:

<figure><img src="/files/NGIFP3vJtXdBc6wz6s8O" alt=""><figcaption></figcaption></figure>

hidden\_text me llama más la atención porque tiene varios directorios/archivos, voy a hacer fuzzing utilizando los directorios que nos da:

<figure><img src="/files/uLOyXBZCXj8uZA8bEcMu" alt=""><figcaption></figcaption></figure>

Encontrmos el siguiente login al hacer fuzzing con los directorios dados:

<figure><img src="/files/Q9MAuA7SzTQN40ZqnRnP" alt=""><figcaption></figcaption></figure>

Si vemos el código fuente de la web podemos apreciar como es el código del login, y también un aparente usuario el cual voy a probar con el ftp y funciona, nos descargamos un id\_rsa y una nota:

<figure><img src="/files/Cz4HX437WCNBUXR8YOK3" alt=""><figcaption></figcaption></figure>

La id\_rsa parece ser correcta, en la nota se meciona a el usuario ariana, vamos a probar a iniciar en el SSH con los credenciales obtenidos

<figure><img src="/files/EVcEZUk69bEwbz8zrHyt" alt=""><figcaption></figcaption></figure>

## Escalada de privilegios

Si nos vamos a el directorio de ariana podemos ver una nota en la cual ella ha causado el ataque, que cabrona:

<figure><img src="/files/9l5DC0uhm4B52rU68Qd1" alt=""><figcaption></figcaption></figure>

Pero bueno, dejando de lado los dramas, vamos a ver que hace messenger.sh. Primero recolecta todos los usuarios del sistema para seguidamente pedir al usuario que quieres mandar el mensaje, y que mensaje mandar, en verdad no envía ningún mensaje sino que lo manda al /dev/null, nos podríamos aprovechar de esto:

<figure><img src="/files/DSCIHwSo0wIlRfX03eA2" alt=""><figcaption></figcaption></figure>

Vamos a correr el archivo y a introducir bash para ver si nos otorga la bash como selena:

<figure><img src="/files/zQnjKW2XVI04mneNdNFP" alt=""><figcaption></figcaption></figure>

<figure><img src="/files/8GJ5AOEZcpqyUPb3XduE" alt=""><figcaption></figcaption></figure>

Wow\... Tienen un autentico drama montado jajajaja

<figure><img src="/files/HETz8UtAtwH7koMIw3RG" alt=""><figcaption></figcaption></figure>

Como sea, antes de seguir tenemos que hacer que nuestra shell vaya de manera correcta:

<figure><img src="/files/TIK1v1TvbE7AA8quNAgQ" alt=""><figcaption></figcaption></figure>

### Docker

Vemos que el usuario esta en un grupo de docker, así que podríamos conseguir root, solo nos tendríamos que ir a GTFOBins y elegir el comando indicado

<figure><img src="/files/4jzAG6E8apJ9C3MO4pHK" alt=""><figcaption></figcaption></figure>

<figure><img src="/files/wmSr9AKzcmpKfH2LD8SU" alt=""><figcaption></figcaption></figure>

Root!

## Conclusión

Ha sido una máquina divertida, la verdad es que nunca había hecho lo de docker para escalar privilegios, por lo demás solo tengo que decir que buen drama había entre selena y ariana jajajaj.


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://burple.gitbook.io/burple/hackmyvm/facil/pwned.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.