# Vegeta1

<figure><img src="/files/7igmydba53DwGxxpXFTo" alt=""><figcaption></figcaption></figure>

### Enumeración

#### NMAP&#x20;

Comenzamos realizando un escaneo rápido de los puertos que tiene abiertos la máquina víctima.&#x20;

```
nmap -p- --open -vvv -Pn -n --min-rate 2000 192.168.65.73
```

<figure><img src="/files/zJf4sdAZ8x5TouLU9fhj" alt=""><figcaption></figcaption></figure>

Realizamos un escaneo en profundidad de los servicios abiertos.&#x20;

```
nmap -p22,80 -sVC -vv -Pn -n 192.168.65.73
```

<figure><img src="/files/geemWYhuCIcx9WrKGASL" alt=""><figcaption></figcaption></figure>

<figure><img src="/files/sQLxKjrboKhHpjOeQH1u" alt=""><figcaption></figcaption></figure>

Existen 2 puertos abiertos en el equipo target.&#x20;

* Puerto 22 -> SSH -> OpenSSH 7.9
* Puerto 80 -> HTTP -> Apache httpd 2.4.38

#### Enumeración web

Vamos a ver el contenido del puerto 80 en el naveador Web.&#x20;

<figure><img src="/files/ys69deSEI6LremxDUlye" alt=""><figcaption></figcaption></figure>

El siguiente paso será realizar una búsqueda de directorios disponibles en el sitio Web con la herramienta dirsearch.&#x20;

```
dirsearch -u "http://192.168.65.73" -i200,301 -w /home/kali/SecLists/Discovery/Web-Content/directory-list-lowercase-2.3-medium.txt -t 64
```

<figure><img src="/files/wmCjaNwsuQ4QGuntR3hO" alt=""><figcaption></figcaption></figure>

Una vez completado el descubrimiento de directorios, obtenemos 5 resultados. Después de abrir cada uno de ellos en el navegador, vemos que el único que contiene información interesante es el directorio /bulma.

<figure><img src="/files/hs2Ckeu6qUKZjc6oPFyk" alt=""><figcaption></figcaption></figure>

El directorio /bulma contiene un archivo de audio nombrado hahahaha.wav. Descargamos el archivo y lo abrimos.&#x20;

El audio parece código morse. Vamos a buscar algún sitio Web que pueda descifrar código morse en audio. Utilizaremos este [sitio Web](https://databorder.com/transfer/morse-sound-receiver/).&#x20;

<figure><img src="/files/d2Hwwl8frohNpHx6rSLi" alt=""><figcaption></figcaption></figure>

### Explotación

Después de descifrar el audio, obtenemos las credenciales TRUNKS:U$3R. Recordamos que el puerto 22 (SSH) estaba abierto. Vamos a intentar inciar sesión en la máquina víctima utilizando estas credenciales.&#x20;

<figure><img src="/files/yxDFWzvp6KFLJ4GJAmuU" alt=""><figcaption></figcaption></figure>

Las credenciales tienen que ser escritas en minúsculas.

Ya tenemos conexión con la máquina víctima. Vamos a buscar la primera flag.&#x20;

<figure><img src="/files/nnpwfvkdyJ5tQcTYVO8O" alt=""><figcaption></figcaption></figure>

### Elevación de privilegios

Comenzamos probando distintas formas de elevación de privilegios.&#x20;

<figure><img src="/files/JkxII8dY7N1AV5BZL15R" alt=""><figcaption></figcaption></figure>

El comando sudo no está disponible.&#x20;

Vamos a enumerar los binarios SUID disponibles.

<figure><img src="/files/htwKqDedgqYt8n3nMbt7" alt=""><figcaption></figcaption></figure>

Pero no podemos elevar privilegios con ninguno de ellos. Otra cosa que podemos hacer es enumerar los archivos existentes en el directorio del usuario trunks.&#x20;

<figure><img src="/files/72OQGzjPiZCuClKtALVn" alt=""><figcaption></figcaption></figure>

Existe un archivo .bash\_history que el usuario trunks puede leer. Vamos a ver su contenido.&#x20;

<figure><img src="/files/dWnoODQFyNKv9ai2fq7F" alt=""><figcaption></figcaption></figure>

Esto parece interesante. Vamos a listar los usuarios disponibles en la máquina.&#x20;

<figure><img src="/files/c2BDPkz0u5oIIG2OLavr" alt=""><figcaption></figcaption></figure>

El usuario "tom" no está registrado en el sistema. Vamos a verificar si el usuario "trunks" puede escribir en el archivo /etc/passwd.&#x20;

<figure><img src="/files/o8oQnvEBSEmBKFawgsT3" alt=""><figcaption></figcaption></figure>

Recordamos eque el contenido de **/home/trunks/.bash\_history** indica lo que debe agregarse a **/etc/passwd** .&#x20;

<figure><img src="/files/6uKvK72iDJxYfSresTcm" alt=""><figcaption></figcaption></figure>

Vamos a escalar privilegio a root de la siguiente manera (la contraseña será Password\@973):

&#x20;

<figure><img src="/files/6M30rehkFWeqnaQ2hFa2" alt=""><figcaption></figcaption></figure>

Solo quedará buscar la flag y tendremos terminada la máquina Vegeta1.

<figure><img src="/files/yefhjIOIiHzE0NmMUQti" alt=""><figcaption></figcaption></figure>

{% embed url="<https://www.youtube.com/watch?v=wAui9xpNuJQ>" %}


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://wiki.securiters.com/securiters-wiki/write-ups/proving-grounds/vegeta1.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.