Máquina Lower7 (Vulnyx)


Comenzamos con averiguar la dirección IP de la Máquina Victima, para ello primeramente utilizaremos la herramienta netdiscover, para ello ejecutamos el siguiente comando:

$ netdiscover -i eth1 -r 10.0.2.0/24

  • Kali (Máquina Atacante): 10.0.2.4
  • Máquina Victima: 10.0.2.35
Comprobamos si tenemos conexión con la Máquina Victima, para ello ejecutamos el siguiente comando:

$ ping -c 1 10.0.2.35


Como se puede comprobar por el TTL nos enfrentamos a una Máquina Linux.

A continuación, realizamos con la herramienta nmap un reconocimiento de los servicios, para ello ejecutamos el siguiente comando:

$ nmap -Pn 10.0.2.35 -sVC


Como podemos comprobar la Máquina Victima tiene abiertos los puertos 21 3000.

Intentamos ver el banner de FTP (21), para ello ejecutamos el siguiente comando:

$ nc -vn 10.0.2.35 21


Nos encontramos el usuario a.clark.

A continuación, Con la herramienta hydra realizamos un ataque al servicio ftp para intentar crackear la contraseña del usuario a.clark, para ello ejecutamos el siguiente comando:

$ hydra -l a.clark -P ./Descargas/rockyou.txt ftp://10.0.2.35


Obtenemos la contraseña dragon.

Nos conectamos vía ftp con las credenciales obtenidas, para ello ejecutamos el siguiente comando:

$ ftp 10.0.2.35


Ya que por el puerto 3000 corre un servidor http basado en node js, intentamos subir una reverse shell en node js, para ello ejecutamos el siguiente comando:

$ nano revshell.js


Subimos la reverse shell via ftp a la Máquina Victima, para ello ejecutamos el siguiente comando:

ftp> put revshell.js


A continuación, en nuestra terminal de nuestra Máquina Atacante y con la ayuda de la herramienta de netcat (nc) nos ponemos a la escucha por el puerto 443 por donde vamos a recibir la conexión, para ello ejecutamos el siguiente comando:

$ nc -lvnp 443

La ejecutamos de la siguiente manera:



¡¡¡Somos a.clark!!!

A continuación, hacemos un tratamiento de la TTY para obtener una shell interactiva y así evitar problemas, para ello ejecutamos los siguientes comandos.

$ script /dev/null -c bash
Ctrl + Z
$ stty raw -echo;fg
$ reset xterm
$ export TERM=xterm

Comprobamos el usuario y los grupos a los que pertenece el usuario a.clark, para ello ejecutamos el siguiente comando:

$ id


Nos damos cuenta de que el usuario a.clark pertenece al grupo shadow, el cual tiene permisos de Lectura en el fichero /etc/shadow, por lo tanto, visualizamos este fichero y nos copiamos el hash del usuario root, para ello ejecutamos los siguientes comandos:

$ cat /etc/shadow
$ nano hash


A continuación, con la ayuda de la herramienta John, intentamos crackear el hash del usuario root, para ello ejecutamos el siguiente comando:

$ john hash --wordlist=./Descargas/rockyou.txt --format=crypt


Obtenemos la contraseña bassman.

Nos cambiamos al usuario root escribiendo la contraseña obtenida, para ello ejecutamos el siguiente comando:

$ su root


¡¡¡Ya somos root!!!

Ya podemos leer las flags de user root.