# Sarxixas

<figure><img src="/files/aalFzjeQEnJ9Pt8GWoOk" alt=""><figcaption></figcaption></figure>

## Fase de reconocimiento

Comenzamos con un escaneo de nmap, el cual nos enseña los puertos 22 (ssh) y 80 (http) abiertos, tambien podemos ver un directorio llamado "/docs", dentro de en no se encuentra nada especialmente relevante.

```
sudo nmap -sVC -vvv -open -Pn 192.168.8.109
```

<figure><img src="/files/aP2pozCtoz8pXde2C4zn" alt=""><figcaption></figcaption></figure>

Dentro de la pagina lo unico relevante que encontramos es el "login.php", el cual adentro del nos indica la version de pluck. Buscando un poco encuentro un vulnerabilidad en exploitdb de esta versión, quizas podemos hacer uso del dicho exploit posteriormente.

<figure><img src="/files/bLbjVxDpTDRKj83JxKyJ" alt=""><figcaption></figcaption></figure>

Antes de seguir, añadiremos a "/etc/hosts" la IP de nuestra maquina victima y el dominio "sarxixas.thl" (Cabe recalcar que el dominio debe ser explicitamente "sarxixas.thl", si solo pones "sarxixas" no te cargara la pagina)

<figure><img src="/files/IhAJgJrlFDRTqp74nzHz" alt=""><figcaption></figcaption></figure>

## Fase de intrusión

Ahora vamos a fuzzear en busqueda de subdominios, lo intento hacer con ffuf y obtengo un solo subdominio, "api".:

```
ffuf -c -ic -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -u "http://sarxixas.thl" -H "HOST: FUZZ.sarxixas.thl" -mc 200
```

<figure><img src="/files/CTuZWb0GFOKDzBLYQuVg" alt=""><figcaption></figcaption></figure>

Descargamos el directorio "HostiaPilotes.zip" y lo intentamos abrir pero tiene contraseña, así que vamos a usar zip2john para obtener el hash:

```
zip2john HostiaPilotes.zip > hash.txt
```

<figure><img src="/files/w8T0KDe7h2KNxEZvqRVv" alt=""><figcaption></figcaption></figure>

Ahora vamos a buscar la contraseña de este zip haciendo uso de hash obtenido, y la contraseña es babybaby,&#x20;

```
john --wordlist=/usr/share/wordlists/rockyou.txt hash.txt
```

<figure><img src="/files/5jp0j2jq7ISkUedH5qH2" alt=""><figcaption></figcaption></figure>

Ahora abrimos el archivo y sacamos la .txt con la contraseña, la cual es "ElAbueloDeLaAnitta"

<figure><img src="/files/zfzy7GpZ9ZXIKyfETCka" alt=""><figcaption></figcaption></figure>

Ahora vamos a eliminar de "/etc/hosts" el ".api" porque sino (al menos en mi caso), no os funcionara, y entramos al panel de admin con los credenciales obtenidos. Buscando en exploitdb encuentro un [exploit ](https://www.exploit-db.com/exploits/49909), nos creamos el .py en nuestra maquina y le damos permisos chmod +x, lo ejecutamos especificando IP, Puerto, Contraseña y Path

<figure><img src="/files/2qjSsM8Unm0uLi1wucd4" alt=""><figcaption></figcaption></figure>

<figure><img src="/files/0Tl0Q6ginzWNq982Mp3B" alt=""><figcaption></figcaption></figure>

Voy a mandar una revershell a mi maquina atacante, vamos a [revshells](https://revshells.com) y nos creamos nuestra revershell de tipo "nc mkfifo":

<figure><img src="/files/toLCLemosJJkBCxhb8x0" alt=""><figcaption></figcaption></figure>

Corremos la lineal de código y nos llega a nuestra maquina atacante, ahora tenemos que hacer la[Depuración de tty](/burple/cheats/depuracion-de-tty.md) para poder hacer uso de la terminal al 100%

## Escalada de privilegios

Si navegamos un poco, en la ruta "/opt" podemos encontrar un .zip del cual podriamos extraer información, asi que nos creamos un servidor de python para poder descargar el .zip en nuestra maquina victima:

<figure><img src="/files/GYiJMEM9yswMQQI25QY9" alt=""><figcaption></figcaption></figure>

```
python3 -m http.server
```

Ahora tendremos que descargar del servidor el .zip, esto lo hacemos con un wget

<figure><img src="/files/BkgxE8WPYFy2FMAx8fZB" alt=""><figcaption></figcaption></figure>

```
wget IP:8000/nombreDe.zip
```

Al igual que con el .zip que previamente habiamos conseguido abrir, este tambien tiene un .txt en su interior, claro que protegido por una contraseña la cual vamos a conseguir con el mismo metodo usado anteriormente:

<figure><img src="/files/f6u9nLi01luwJIlCERAU" alt=""><figcaption></figcaption></figure>

<pre><code><strong>#Primero extraemos el hash del dicho .zip
</strong><strong>zip2john .zip > hash
</strong><strong>
</strong><strong>#Hacemos uso de john para dar con la password
</strong><strong>john --wordlist=/usr/share/wordlist/rockyou.txt hash
</strong></code></pre>

Intento iniciar sesion en el usuario sarxixa pero no funciona, probablemente la contraseña este cifrada, voy a usar esta pagina web para detectar en que esta codificado, lo descodificamos y vemos la contraseña, al .zip le falta la primera letra, asi que le quitamos la primera letra a la contraseña decodificada.

<figure><img src="/files/oWoxpJP36i3fXph3RQhb" alt=""><figcaption></figcaption></figure>

<figure><img src="/files/GNqrZao7rMJWNAgLQlG5" alt=""><figcaption><p>Inciamos sesion en el usr sarxixa</p></figcaption></figure>

Vemos que somos docker, vamos a GTFOBins a buscar el binario de docker y damos con el:

<figure><img src="/files/5LRGhjXNxf2byMZ9hAIk" alt=""><figcaption></figcaption></figure>

Lo corremos y obetenemos root

<figure><img src="/files/VRRH1g9LpEduZStgbuLf" alt=""><figcaption></figcaption></figure>


---

# Agent Instructions
This documentation is published with GitBook. GitBook is the documentation platform designed so that both humans and AI agents can read, navigate, and reason over technical content effectively. Learn more at gitbook.com.

## Querying This Documentation
If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://burple.gitbook.io/burple/thehackerslabs/medio/sarxixas.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.