## Máquina BreakOut https://www.vulnhub.com/entry/empire-breakout,751/ - Hacer el pentesting según las fases dadas y realizar un informe de pentesting según el modelo proporcionado en clase.Realiza la prueba como si estuvíeramos en un entorno de caja negra nmap 10.0.2.1/24 nmap -sV -p- 10.0.2.11 Vemos los puertos abiertos. Como vemos hay un apache comprobamos que se puede entrar a una web. Comprobamos que hay un código encriptado de programador flipado. Vamos a una página francesa que nos puede ayudar para averiguar la encriptación y vemos que puede ser brainfuck, investigamos sobre este método. Vamos a https://www.dcode.fr/langage-brainfuck Metemos el código y nos sale que este es el texto encriptado .2uqPEfj3D<P'a-3 Guardamos el dato y vamos probando otros servicios por ejemplo el del webmin http://10.0.2.11:20000/ Puede ser que tengamos la contraseña pero no el usuario, usemos la herramienta. https://www.kali.org/tools/enum4linux/ enum4linux -a 10.0.2.11 Vemos que hay una SID a nombre de cyber usamos este usuario y contraseña para entrar en el webmin. Comprobamos que hay una manera de acceder al shell y generamos un reverse shell con www.revshells.com vemos la versión del sistema operativo cat /etc/issue uname -a podríamos buscar exploits con esta información pero antes de hacerlo comprobamos si hay archivos binarios con permisos de ejecución find / -perm -4000 -type f 2>/dev/null Comprobamos los permisos de ejecución de estos archivos e investigamos si tenemos algún binario con "linux capatibility", esta es una de las técnicas de escalada de privilegios, investiguemos: https://hardsoftsecurity.es/index.php/2022/03/11/privilege-escalation-linux-capability/ https://book.hacktricks.xyz/linux-hardening/privilege-escalation/linux-capabilities Lo comprobamos con getcap -r / 2>/dev/null Vemos que tar tiene permisos de administrador para hacer algunas operaciones. Comprobamos si hay algún directiorio de backups: cd /var/backups Ten en cuenta la diferencia entre hacer un ls a hacer un ls -la y aquí vemos que nos sale un fichero .old_pass.bak Si intento leerlo o hacer cualquier cosa no puedo, necesitas permiso de root que no tienes, pero qué aplicación sí que podíamos usar con los permisos de root? el tar así que desde la home de mi usuario(cd) que: ./tar -cvf password.tar /var/backups/.old_pass.bak Vamos a ver que nos lo crea en esa carpeta y le damos a: tar -xf password.tar nos crea la misma estructura de directorios entramos en var/backups y ahí con ls -la vemos que está el archivo y nos lo deja leer: $ cat .old_pass.bak Ts&4&YurgtRX(=~h Como esta clave estaba en los backups del root vamos a suponer que es la de root: su root esa clave nos metemos en la carpeta de root (cd) y vemos que hay un archivo rOOt.txt que es la segunda bandera.