# MAQUINA CHANGELOG (BRUTE FORCE USER + PRIV ESC 'NANO')
Realice un escaneo de puertos, servicios y vulnerabilidades de la ip victima.
Una vez que termino el escaneo de la herramienta al verificar los puertos tengo 3 puertos abiertos.
A) 80 HTTP\
B) 3000 HTTP donde corre un node.js\
C) 5000 SSH
Desde ya como no tengo credenciales el puerto 5000 lo dejamos de un lado hasta conseguir unas validas, así que me dirijo al servicio web.
En el escaneo veo que me encontró una ruta llamada /backend/ asi que luego de hacer un reconocimiento básico voy a ingresar allí.
Con whatweb voy a ver las tecnologías que corren el el sitio web, y luego lo mismo con la extensión llamada wappalyzer.
Puedo ver que wappalyzer me brindo mas información que whatweb, esto es crucial ya que como tengo leguajes java y php puedo realizar fuerza bruta en busca de directorios ocultos con estas extensiones y demas.
La web contiene lo siguiente.
Al ver el codigo fuente obtengo esto:
Al parecer esta sección de autenticación si le doy click me va a llevar a otro sitio con mas info.
Esta ruta me indica que el token de recutso es tokentraviesito por lo que a esto lo voy a guardar en mis apuntes.
Luego de realizar un reconocimiento de la web y no encontrar mas que solo esto, paso a buscar directorios ocultos para ellos use la herramienta feroxbuster.
Esta herramienta me encontró un listado bastante grande donde al principio luego de terminar de buscar por todas las direcciones me tope con esto.
Según el informe del escaneo de vulnerabilidades esta ruta backend era interesante, ahora veo porque.. me tope con lo que podría ser una password.
Para obtener esto sin realizar un escaneo de directorios con curl realizando un método post puedo obtener la contraseña.
Ahora al tener esta contraseña y tener el puerto 5000 donde corre el ssh abierto voy a tratar de ingresar con el usuario traviesito y backup (porque por ahí dice backup en la password xD).
Crackmapexec no me valido ninguna de las 2 así que a seguir probando.
Como no tengo ningún usuario voy a realizar fuerza bruta con hydra para ver si en algún diccionario encuentro el usuario.
Hydra me encontró un usuario llamado lovely asi que me cree una herramienta para validar las credenciales.
Ahora inicio sesion y me logue como usuario lovely ya logueado busco la manera de escalar privilegios para ser root.
Luego de un reconocimiento leeo el historial y puedo notar que se ejecuto el comando sudo -l
Así que ejecuto el sudo -l y tengo un binario llamado "nano" el cual puedo ejecutarlo como root ya que no requiere password.
Para abusar de este binario lo que hay que hacer es ejecutarlo: "sudo /usr/bin/nano"
Luego apretamos CONTROL + R
Seguido de CONTROL + X
Ahora coloco: reset; sh 1>&0 2>&0
Le doy enter y cuando vea que dice executing le doy CONTROL + C.
Limpio la pantalla con clear y veo ya soy estoy ejecutando comandos como root.
---
# Agent Instructions: Querying This Documentation
If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.
Perform an HTTP GET request on the current page URL with the `ask` query parameter:
```
GET https://1gnotus.gitbook.io/ignotus_pwn/dockerlabs/writeup/maquina-changelog-brute-force-user-+-priv-esc-nano.md?ask=
```
The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.
Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.