🟢Vegeta1

Enumeración

NMAP

Comenzamos realizando un escaneo rápido de los puertos que tiene abiertos la máquina víctima.

nmap -p- --open -vvv -Pn -n --min-rate 2000 192.168.65.73

Realizamos un escaneo en profundidad de los servicios abiertos.

nmap -p22,80 -sVC -vv -Pn -n 192.168.65.73

Existen 2 puertos abiertos en el equipo target.

• Puerto 22 -> SSH -> OpenSSH 7.9

• Puerto 80 -> HTTP -> Apache httpd 2.4.38

Enumeración web

Vamos a ver el contenido del puerto 80 en el naveador Web.

El siguiente paso será realizar una búsqueda de directorios disponibles en el sitio Web con la herramienta dirsearch.

dirsearch -u "http://192.168.65.73" -i200,301 -w /home/kali/SecLists/Discovery/Web-Content/directory-list-lowercase-2.3-medium.txt -t 64

Una vez completado el descubrimiento de directorios, obtenemos 5 resultados. Después de abrir cada uno de ellos en el navegador, vemos que el único que contiene información interesante es el directorio /bulma.

El directorio /bulma contiene un archivo de audio nombrado hahahaha.wav. Descargamos el archivo y lo abrimos.

El audio parece código morse. Vamos a buscar algún sitio Web que pueda descifrar código morse en audio. Utilizaremos este sitio Web.

Explotación

Después de descifrar el audio, obtenemos las credenciales TRUNKS:U$3R. Recordamos que el puerto 22 (SSH) estaba abierto. Vamos a intentar inciar sesión en la máquina víctima utilizando estas credenciales.

Las credenciales tienen que ser escritas en minúsculas.

Ya tenemos conexión con la máquina víctima. Vamos a buscar la primera flag.

Elevación de privilegios

Comenzamos probando distintas formas de elevación de privilegios.

El comando sudo no está disponible.

Vamos a enumerar los binarios SUID disponibles.

Pero no podemos elevar privilegios con ninguno de ellos. Otra cosa que podemos hacer es enumerar los archivos existentes en el directorio del usuario trunks.

Existe un archivo .bash_history que el usuario trunks puede leer. Vamos a ver su contenido.

Esto parece interesante. Vamos a listar los usuarios disponibles en la máquina.

El usuario "tom" no está registrado en el sistema. Vamos a verificar si el usuario "trunks" puede escribir en el archivo /etc/passwd.

Recordamos eque el contenido de /home/trunks/.bash_history indica lo que debe agregarse a /etc/passwd .

Vamos a escalar privilegio a root de la siguiente manera (la contraseña será Password@973):

Solo quedará buscar la flag y tendremos terminada la máquina Vegeta1.