Enlace
https://thehackerslabs.com/sal-y-azucar/
Como de costumbre debemos realizar un reconocimiento del host a atacar en este caso uso nmap para verificar puertos abiertos.
Revisemos el puerto 80
Vemos la pantalla por default de apache en debian lo cual no muestra mucho, exploramos mas a detalle el sistema web con herramientas más especializadas.
Usando ffuf encontramos lo siguiente
Entramos a http://192.168.1.103/summary/
Encontramos el directorio con un archivo que contiene una línea de texto sin más.
Como solo tenemos 2 puertos abiertos y el puerto 80 no descubrimos nada pasamos a realizar fuerza bruta a el puerto 22
Encontramos un usuario/ validos info:qwerty
Ejecutamos linpeas para escanear el sistema y ver si muestra vulnerabilidades, dado que este usuario no tiene acceso a curl ni a wget y aparte la vm esta aislada por mi configuración de red simplemente copie el script de internet y lo pegue con echo desde la consola.
Este script coloca posibles vectores para escalado de privilegios en rojo con amarillo.
Ya que podemos ejecutar el programa base64 como root sin clave buscamos en https://gtfobins.github.io/gtfobins/base64/ un método para realizar el ataque.
Con este método podemos ver archivos protegidos de sistema sin conocer la contraseña, en este caso intente sin éxito usar jhon para intentar adivinar la clave del usuario root leyendo los archivos shadow y passwd
Ya que ese método no me funciono obtuve la clave privada del usuario root
Notamos que es una cadena codificada con Base64
Intente loguearme pero la clave tenia una frase para protección extra, usando ssh2john para convertir la clave a un formato que john pueda entender la obtuve usando la lista de palabras rockyou
Con esto pude probar las credenciales localmente en la maquina objetivo teniendo acceso a root!
