# Twisted

## `Fase de reconocimiento` ### `Nmap` `Comenzamos con un escaneo de nmap como de costumbre y encontramos los siguientes puertos abiertos:` * `80 HTTP` * `2222 SSH` `nmap -p- -sSVC --min-rate 10000 -Pn 192.168.8.112`

`En la página web encontramos dos imágenes de gatos, y me llama la atención el ultimo gato ya que dice que parece diferente, quizás tiene algo escondido en su interior que podríamos extraer con herramientas de escenografía:`

## `Fase de intrusión` ### `Gobuster ❌` `Hago fuzzing con gobuster para encontrar posibles directorios o archivos pero no encuentro nada relevante:`

`Vamos al tajo! Probablemente las imágenes como bien he dicho previamentes contengan algo en su interior, así que voy a descargar ambos para analizarlos:`

### `Exiftool ❌` `Exiftool sirve para revisar los metadatos pero no encontramos nada, útil en cambio...` ### `Stegseek` `Con stegseek encontramos en ambas imágenes información bastante relevante:`

`El output de las imágenes es el siguiente:`

## `Escalada de privilegios` ### `SSH` `Con los credenciales obtenidos del cat-hidden podemos iniciar sesión por el puerto SSH (2222) como mateo, no podemos ver nada muy relevante así que iniciamos sesión como markus usando los credenciales obtenidos del cat-original:`

`En el directorio /home de markus podemos encontrar una nota bastante relevante, la cual nos indica la existencia de una key para bonita, esto es relevante ya que el usuario bonita tiene cosas interesantes en su directorio de /home`

### `Linpeas` `Pero hay un inconveniente, no podemos abrir el dicho archivo ya que solo root lo puede hacer, esto me lleva a la importación de linpeas para encontrar información más relevante, y lo que más me llama la atención son las capabilities:`

`Lo que me interesa de aquí son las capabilities de tail, ya que si pudiera emplearlo para leer archivos, conseguiría obtener la id_rsa de bonita:`

`De esta manera conseguimos leer la id_rsa de bonita:`

`Nos copiamos la key a nuestra máquina atacante y le damos permisos, y accedemos a el ssh de bonita:`

### `Decompilación del binario` `Dentro del directorio de bonita encontramos algo que me lleva llamando la atención desde que entre como mateo y es el beroot, el cual es un binario, nunca he tratado con decompilación de binarios, así que investigando un poco descubro que se puede decompilar su interior con algunas aplicaciones para ver más o menos lo que hace (`[`Web`](https://dogbolt.org)`):`

Parece ser que si el valor introducido NO ES IGUAL A 0x16f8 es incorrecto

`5880 es 0x16f8 en Hex:`

`Corremos el binario con el decimal proporcionado y obtenemos root!`

## Conclusión `En esta máquina, logramos la intrusión y escalada de privilegios aprovechando varias debilidades:` * `Con herramientas de escenografía como`` `**`stegseek`**` ``encontramos credenciales validos para el`` `**`SSH`** * `Nos aprovechamos de las`` `**`capabilities`**` ``de`` `**`tail`** * `Descompilamos un binario para descubrir su interior con`` `**`Dogbolt`** `En lo personal me ha parecido una máquina bastante entretenida donde he aprendido cosas nuevas, 100% recomendada para novatos como yo en el hacking web!` --- # Agent Instructions: Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://burple.gitbook.io/burple/hackmyvm/facil/twisted.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.