Write-up: Máquina Explorer (Vulnyx)


Comenzamos con averiguar la dirección IP de la Máquina Victima, para ello primeramente utilizaremos la herramienta netdiscover, para ello ejecutamos el siguiente comando:

$ netdiscover -i eth1 -r 10.0.2.0/24

  • Kali (Máquina Atacante): 10.0.2.4
  • Máquina Victima: 10.0.2.53
Comprobamos si tenemos conexión con la Máquina Victima, para ello ejecutamos el siguiente comando:

$ ping -c 1 10.0.2.53


Como se puede comprobar por el TTL nos enfrentamos a una Máquina Linux.

A continuación, realizamos con la herramienta nmap un reconocimiento de los servicios, para ello ejecutamos el siguiente comando:

$ nmap -Pn -p- 10.0.2.53 -sVC


Como podemos comprobar la Máquina Victima tiene abiertos los puertos 22 80.

Comprobamos que es lo que corre por el puerto 80.


A continuación, realizamos con la herramienta gobuster un fuzzing web, para ello ejecutamos el siguiente comando:

$ gobuster dir -u http://10.0.2.53 -w /usr/share/seclists/Discovery/Web-Content/common.txt


Tanto en el escaneo de los servicios con la herramienta nmap encontramos el fichero robots.txt,  Este fichero se incluye en la raíz de cada dominio para evitar que los motores de búsqueda indexen contenido de las rutas indicadas.

Accedemos a el.


Tanto en el escaneo de los servicios con la herramienta nmap encontramos también el directorio extplorer.

Accedemos a el.


Encontramos un panel de login del administrador de archivos basado en PHP eXtplorer.

Probamos a loguearnos con credenciales por defecto.


Conseguimos acceder con las credenciales admin:admin.

Nos creamos la siguiente webshell en .php.



A continuación, en nuestra terminal de nuestra Máquina Atacante y con la ayuda de la herramienta de netcat(nc) nos ponemos a la escucha por el puerto 443 por donde vamos a recibir la conexión, para ello ejecutamos el siguiente comando:

$ nc -lvnp 443

Ejecutamos la siguiente reverse shell en busybox y la pegamos en el parámetro cmd de la siguiente manera.



Y obtenemos una shell como www-data.

A continuación, hacemos un tratamiento de la TTY para obtener una shell interactiva y así evitar problemas, para ello ejecutamos los siguientes comandos:

$ script /dev/null -c bash
   Ctrl + Z
$ stty raw -echo;fg
$ reset xterm
$ export TERM=xterm

En el directorio /var/www/html/extplorer/config encontramos el fichero conf.php lo visualizamos, para ello ejecutamos el siguiente comando:

$ cat conf.php


Encontramos las credenciales root:AccessGranted#1 para la conexión a la base de datos.

Probamos a cambiarnos al usuario root, para ello ejecutamos el siguiente comando:

$ su root


Introducimos la contraseña obtenida anteriormente.

¡¡¡Ya somos root!!!.

Ya podemos leer las flags de user root.