Write-up: Máquina Fire (Vulnyx)

Comenzamos con averiguar la dirección IP de la Máquina Victima, para ello primeramente utilizaremos la herramienta netdiscover, para ello ejecutamos el siguiente comando:

$ netdiscover -i eth1 -r 10.0.2.0/24

  • Kali (Máquina Atacante): 10.0.2.4
  • Máquina Victima: 10.0.2.60
Comprobamos si tenemos conexión con la Máquina Victima, para ello ejecutamos el siguiente comando:

$ ping -c 1 10.0.2.60


Como se puede comprobar por el TTL nos enfrentamos a una Máquina Linux.

A continuación, realizamos con la herramienta nmap un reconocimiento de los servicios, para ello ejecutamos el siguiente comando:

$ nmap -Pn -p- 10.0.2.60 -sVC


Como podemos comprobar la Máquina Victima tiene abiertos los puertos 21, 2280 y 9090.

Comprobamos que es lo que corre por el puerto 80.


A continuación, si realizamos con la herramienta gobuster un fuzzing web, no encontramos nada.

Comprobamos que es lo que corre por el puerto 9090.


Al visitarlo nos sale una advertencia, despues de ignorarla y aceptar los riesgos nos encontramos un panel de login.

En el escaneo de los servicios con la herramienta nmap vimos que en el servicio FTP (21) que existía el usuario anonymous habilitado, por lo tanto, accedemos con dicho usuario, para ello ejecutamos el siguiente comando:

$ ftp 10.0.2.60


Encontramos el fichero backup.zip, nos los descargamos, para ello ejecutamos el siguiente comando:

ftp> get backup.zip


Descomprimimos el fichero, para ello ejecutamos el siuiente comando:

$ unzip backup.zip

Nos encontramos con el directorio mozilla, y dentro de el, el directorio firefox, el cual contiene en su interior los perfiles del navegador firefox.

Investigando un poco en la pagina de hacktricks nos encontramos con la herramienta firefox_decrypt para extraer contraseñas de los perfiles de este navegador, nos la descargamos y la ejecutamos de la siguiente manera:

$ python firefox_decrypt.py mozilla/firefox


Encontramos las credenciales marco:m@rc0!123.

Intentamos iniciar sesion en el panel de login encontrado anteriormente en el puerto 9090 con las credenciales obtenidas.


Estamos dentro.

Nos dirigimos a Tools/Terminal.


Y vemos que es una terminal del usuario marco.

A continuación, en nuestra terminal de nuestra Máquina Atacante y con la ayuda de la herramienta de netcat (nc) nos ponemos a la escucha por el puerto 443 por donde vamos a recibir la conexión, para ello ejecutamos el siguiente comando:

$ nc -lvnp 443

Ejecutamos la siguiente reverse shell en bash.


Y obtenemos una shell como marco.

Enumeramos los permisos sudo, para ello ejecutamos el siguiente comando:

$ sudo -l


Nos encontramos con el binario units que lo podemos ejecutar como el usuario root, en la ayuda de este binario encuentro que con el parámetro -f  me permite leer archivos, por lo tanto, intentamos leer la clave privada id_rsa del usuario root, para ello ejecutamos el siguiente comando:

$ sudo /usr/bin/units -f /root/.ssh/id_rsa


Conseguimos leer la clave privada id_rsa para acceder a la Máquina Victima vía ssh, nos la copiamos en un archivo, para ello ejecutamos el siguiente comando:

$ nano id_rsa

Utilizamos el fichero id_rsa para conectarnos via ssh a la Máquina victima, para ello ejecutamos los siguientes comandos:

$ chmod 600 id_rsa
$ ssh -i id_rsa root@10.0.2.60

¡¡¡Ya somos root!!!

También pudiendo leer las flags de user root.