# MAQUINA BASHPARIENCIAS (PIVOTING USER + PRIV ESC. 'suplantacion con TEE')

Inicie la maquina de dockerlabs.

<figure><img src="/files/8M1wFYDlriLrFjClEZjf" alt=""><figcaption></figcaption></figure>

Luego a través del comando ping verifique no solo la conectividad si no también al tener el ttl de 64 ya me doy cuenta que estoy ante una maquina Linux.

<figure><img src="/files/gCBk2U6NXN6tcWbzxr2I" alt=""><figcaption></figcaption></figure>

Luego con una herramienta que realice en python3 realizo un escaneo de puertos + escaneo básico de reconocimientos, sus versiones y por ultimo realiza un escaneo de vulnerabilidades.

<figure><img src="/files/DAMjUXMXRfq3Om8uTgK7" alt=""><figcaption></figcaption></figure>

<figure><img src="/files/TMOR7BAfjJnJbGWy71F1" alt=""><figcaption></figcaption></figure>

<figure><img src="/files/LcOwkDoIuDuHopBvDutI" alt=""><figcaption></figcaption></figure>

Tengo en escucha los puertos 80 http y el puerto 8899 donde corre un servicio ssh de versión desactualizada.

Como no tengo credenciales para ingresar a través del ssh voy a comenzar observando el sitio web.

Primero verifico las tecnologías a través de whatweb, y luego las veo a través de wappalyzer.

<figure><img src="/files/a4r7hgaoAhJVH3lGrlVU" alt=""><figcaption></figcaption></figure>

<figure><img src="/files/z7lYw93SeVq8txKCeP51" alt=""><figcaption></figcaption></figure>

Ya que tengo un poco de info sobre la web voy a realizar un reconocimiento general este servicio web.

<figure><img src="/files/O8QP4PSc7eutHINQaRHP" alt=""><figcaption></figcaption></figure>

<figure><img src="/files/bL88Z0MsoNieVCSjjzi3" alt=""><figcaption></figcaption></figure>

Desde el principio hay un comentario baste interesante donde me indica que el usuario rosa dejo su password sin cifrar.

Antes de revisar el contenido de la web realice un escaneo de directorios con gobuster. (no dan mucha info)

<figure><img src="/files/7ttx4b4wsRT4XGmdTNLk" alt=""><figcaption></figcaption></figure>

Reviso el código fuente y tengo una posible pista.

<figure><img src="/files/LBa63wHI10oK85PA8Els" alt=""><figcaption></figcaption></figure>

No ayudo mucho así que seguí mirando la web y me encontré con un formulario de registro donde no te algo interesante. En el segundo producto hay una descripción de rosa así que por ende fui al código fuente.

<figure><img src="/files/aLTU5NxcBAoQpW5Ft1Ic" alt=""><figcaption></figcaption></figure>

<figure><img src="/files/7iZZv6i7G4AAMCDYVmOn" alt=""><figcaption></figcaption></figure>

Al parecer si era verdad, dejo el password plasmado sin nada así que me guarde estas credenciales y luego como tengo el ssh disponible probé si estas son validas.

<figure><img src="/files/euWvimDUYyURWahCLSPe" alt=""><figcaption></figcaption></figure>

Listo estoy dentro de usuario rosa, ahora realice un reconocimiento del sistema y demas.

<figure><img src="/files/0sMwnzMJLSIakMmjXiX1" alt=""><figcaption></figcaption></figure>

Tengo 2 usuarios mas aparte de rosa y de root: "carlos y juan".

Dentro de directorio home tengo una carpeta sin nombre pero se encuentra con el - .. para adentrarme en esta carpeta debo hacerlo de la siguiente forma.

<figure><img src="/files/qTQyiHduKtuBqk1xRREY" alt=""><figcaption></figcaption></figure>

Ya dentro tengo 2 archivos 1 zip y 1 txt, paso a leer el txt y dice lo siguiente.

<figure><img src="/files/t4xmHg5AdJGASC0RYZdM" alt=""><figcaption></figcaption></figure>

Al aparecer juan le compartió la password a rosa, así que me traje el archivo a mi maquina atacante crackearlo y poder abrirlo ya que el mismo esta protegido con password.

<figure><img src="/files/mqrPgN0SlU269BzXxI2x" alt=""><figcaption></figcaption></figure>

<figure><img src="/files/QUeDDmUg9mwWGzotnUTo" alt=""><figcaption></figcaption></figure>

Con la herramienta zip2jhon voy a crear un hash para que luego con jhon poder descifrar la contraseña del hash.

<figure><img src="/files/xkNnH5BU8Ln91yQlIVdj" alt=""><figcaption></figcaption></figure>

<figure><img src="/files/ONWr80TL8t4OcnV3S3Fj" alt=""><figcaption></figcaption></figure>

<figure><img src="/files/LDyCKcQ6Niw3S8owo0Je" alt=""><figcaption></figcaption></figure>

Ahora que tengo la password voy extraer el contenido del archivo zip.

<figure><img src="/files/k77patmzu2qO3ox80MTZ" alt=""><figcaption></figcaption></figure>

Como tengo la password de juan voy a adentrarme a través de ssh o también haciendo un su juan en la misma maquina o login de rosa.

<figure><img src="/files/iobBybYzX181TBKEubdY" alt=""><figcaption></figcaption></figure>

<figure><img src="/files/vl8S8nbTtbZWnxXklHNX" alt=""><figcaption></figcaption></figure>

Ya siendo el usuario juan ejecuta el comando sudo -l para ver si algún usuario tiene permiso de supe usuario (root).

En este caso carlos puede ejecutar los comandos tree y cat sin requerir contraseñas.

<figure><img src="/files/qmhGAtp3CkmOq7odMZmL" alt=""><figcaption></figcaption></figure>

El comando tree puede listar los contenidos del directorio en forma de árbol y el comando cat puede leer los archivos.

Como soy el usuario juan, no puedo leer el contenido del usuario Carlos ni rosa, pero con estos binarios ejecutándolos como usuario Carlos si voy a poder leer los archivos de la carpeta de Carlos.

<figure><img src="/files/gP9kkSyQbk3RoXkm0zTN" alt=""><figcaption></figcaption></figure>

En el directorio de Carlos me encontré con un archivo llamado password el cual decía "chocolateado" y luego un archivo llamado .misecreto.txt que decía lo siguiente.

<figure><img src="/files/SegagnLSjq8RJzIalju1" alt=""><figcaption></figcaption></figure>

<figure><img src="/files/beNS3MbjSiM1J0PBAM70" alt=""><figcaption></figcaption></figure>

Al encontrar esto me di cuenta que la contraseña de Carlos es chocolateado xD.

Así que ejecutando un su Carlos me loguie dentro de la maquina.

Ahora al listar el contenido de la carpeta, tengo el bash\_history que si lo ejecuto con un cat observo que esta ejecutando "sudo -l" y luego se mueve a root.

Ejecuto dicho comando y veo que con el comando tee tengo permisos para ejecutar como super usuario.

<figure><img src="/files/gQ1BkGgEEQQQrDmBhJHV" alt=""><figcaption></figcaption></figure>

Este comando se utiliza para sobrescribir un archivo ya existente por lo que me pareció interesante tratar de sobrescribir el archivo /etc/passwd agregándole un usuario con permisos de root.

Para ello realice  lo siguiente.

<figure><img src="/files/GsFyVEYzXuQkKHW7Y1rB" alt=""><figcaption></figcaption></figure>

<figure><img src="/files/UQgGss5BuHFQ0IQWSLos" alt=""><figcaption></figcaption></figure>


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://1gnotus.gitbook.io/ignotus_pwn/dockerlabs/writeup/maquina-bashpariencias-pivoting-user-+-priv-esc.-suplantacion-con-tee.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.