> For the complete documentation index, see [llms.txt](https://burple.gitbook.io/burple/llms.txt). Markdown versions of documentation pages are available by appending `.md` to page URLs; this page is available as [Markdown](https://burple.gitbook.io/burple/thehackerslabs/facil/campana-feliz.md).

# Campana feliz

<figure><img src="/files/Ph4ESdbhDQdHLHtA6rXF" alt=""><figcaption></figcaption></figure>

## Fase de reconocimiento

Primero hacemos un escaneo de nmap para ver los puertos abiertos, y los puertos abiertos son:

* 22 SSH
* 8088 HTTP
* 10000 HTTPS

```bash
nmap -p- -sSVC --min-rate 5000 192.168.8.112 -oG allPorts -vvv
```

<figure><img src="/files/2YipVI8E6ME4JSJQoEg9" alt=""><figcaption></figcaption></figure>

## Fase de intrusión

En el puerto 8088, no hay un web aparentemente, así que vamos a enumerar los directorios con gobuster, por otra parte en el 10000 hay un webmin pero por ahora voy a hacer fuzzing al 8088:

<figure><img src="/files/8abMK9ktlmP75C17Nqc9" alt=""><figcaption></figcaption></figure>

Dentro de "/shell.php" podemos encontrar un login, y dentro del puerto 8088 hay en el código fuente de la página unos caracteres codificados en base64 (Página web que he usado para decodificarlos [Cyberchef](https://gchq.github.io/CyberChef/)):

<figure><img src="/files/WZkr1mWLnaBZLAQTdGIN" alt=""><figcaption></figcaption></figure>

<figure><img src="/files/Casfbj7sHfCNSE4WQ1LM" alt=""><figcaption></figcaption></figure>

Con relación a el "/shell.php", ahora podríamos realizar un ataque de fuerza bruta con los caracteres decodificados, yo me voy a hacer una lista de usuarios los cuales podrían ser validos y con hydra voy hacer el ataque:

<figure><img src="/files/LU4sVa9De2vT0DrnLCmf" alt=""><figcaption></figcaption></figure>

Iniciamos sesión y nos encontramos con una shell de comandos, así que vamos a mandar una reverseshell a nuestra máquina (Página de [revershells](https://www.revshells.com/)):

<figure><img src="/files/qDB4Q8xWt4bBQigpzeww" alt=""><figcaption></figcaption></figure>

## Escalada de privilegios

Con respecto a la shell obtenida, tenemos que hacer una [Depuración de tty](/burple/cheats/depuracion-de-tty.md) para poder interactuar sin problemas con ella. Si hacemos un sudo -l podemos ver que todos los usuarios pueden ejecutar la bash sin proporcionar contraseña, así que abrimos la bash como si fueramos root:

<figure><img src="/files/hB1SX2Vi5jsshOo8xDqo" alt=""><figcaption></figcaption></figure>

## Conclusión

En esta máquina, logramos la intrusión y escalada de privilegios aprovechando varias debilidades:

1. Enumeración de directorios expuestos en el puerto 8088 mediante fuzzing con **Gobuster**.
2. Descubrimiento de credenciales en un mensaje codificado en Base64 dentro del código fuente.
3. Fuerza bruta contra el login de `/shell.php` con **Hydra** para obtener acceso a una shell remota.
4. Escalada de privilegios explotando una configuración insegura en `sudo`, que permitía ejecutar `bash` sin contraseña.
