# MAQUINA BOOLEAN (Modificacion de REQUEST con Burpsuite ' confirmed = true ' + LFI + UPLOAD ID\_RSA an

Verificación con la maquina victima TTL >> 61 = LINUX

![](/files/CvJfo5dFxxcg8kJSj0Mx)

Escaneo de puertos con nmap

`` `nmap -p22,80,33017 -sCV 192.168.221.231 -oN fullscan.txt ``

![](/files/WzFMT7t2LtSGxMxsBvbQ)

Realizo un reconocimiento, como no tengo credenciales no puedo acceder por ssh.

Veo el servidor web que corren tanto en el puerto 80 como en el 33017, con whatweb veo las tecnologías que corren en los servidores.

`whatweb 192.168.221.231:33017`

`whatweb 192.168.221.231`

![](/files/B3rmOpMddEjbBV6X1Ksh)

![](/files/mJwLf8D9wDVoIDnWCNKp)

En el puerto 80 veo un panel de sesión.

![](/files/yHQlHkhA6YvRRzbvkyrf)

Dentro de este panel con wappalizer veo las tecnologías también.

![](/files/UZxmAPUJvVZxIPgZJxTg)

Realizo una búsqueda de directorios con feroxbuster.

![](/files/JLEaByirBW6Q5PC0mZK5)

Me encontró algunas rutas con estados 200.. el mas interesante es el /register.

Dentro de esta web, me creo un usuario random para ver que es lo que puedo realizar.

![](/files/wrdOviqUvnhn2Zi9XwDL)

Realizo la confirmación de la cuenta, esto aparece cuando me logue en el panel de sesión.

![](/files/t7ubbt37Yx4TiHMPWQfr)

Coloco el email pero no tengo respuesta cuando quiero loguearme.

![](/files/YSc7Y1kpV4KXRPncxWCC)

En esta parte utilize burpsuite para ver que es lo que se esta ejecutando que no me deja acceder con mi usuario.

Una vez que capture la respuesta observo que mi username en este caso "PWNED" no me esta confirmando el acceso >>> "confirmed; false".

Para ello dentro del REQUEST modifique La parte donde dice "USER" con la palabra "CONFIRMED", para que esta realice la confirmación de mi USUARIO.

![](/files/9cn5OfeWF2KEZBFzC4ai)

![](/files/88ZMMC68FktAmspyrNJR)

Una vez modificado lo dicho le doy a "SEND" y se puede observar que el apartado "confirmed" paso de "FALSE A TRUE"

![](/files/jaTRmVt1UuHMJtPi4Zk8)

Terminado esto, me logueo con las credenciales que cree y puedo acceder sin problemas al sitio web.

Una vez aqui veo que tengo un panel para subir archivos.

![](/files/KiI12nmtNd2ic5TajuKK)

Creo una revershell en ruby pero al clickearle lo que me realiza es una descarga del mismo archivo.

![](/files/toO5uII646SorYQRjtSm)

![](/files/LsdEbkZEsdPXmN4nX2oT)

ACA VEO QUE HAY UNA BARRA "/" POR lo que creo que esto esta ejecutandose desde la raiz.

Observado la URL veo que se esta ejecutando el parametro file > "archivo" o sea en este caso el archivo es "r.rb".

[http://192.168.221.231/?cwd=\&file=r.rb\&download=true](http://192.168.221.231/?cwd\&file=r.rb\&download=true)

Cambie la url para ver si puedo leer el /etc/passwd y me resulto exitoso ya que me descargo el fichero.

[http://192.168.221.231/?cwd=../../../../../etc=passwd\&download=true](http://192.168.221.231/?cwd=../../../../../etc%3Dpasswd\&download=true)

![](/files/vzeOXXdfApuDYjthEJJo)

Tengo un usuario llamado remi que no es poca cosa, como puedo ejecutar comandos, voy a la ruta /home/remi del usuario para ver su contenido.

![](/files/8tMufWIs2rlM2pVQVukc)

Lo interesante es que tengo la carpeta .ssh disponible por ende ingreso allí y me topo con una carpeta llamada keys que contiene la id-rsa.

![](/files/vmzUH6w7C125s2HtAY7W)

![](/files/ex9dslHdCLQuUcumWpQg)

Como puedo acceder a la carpeta ssh voy a crearme mi propia ID\_RSA para subirla a la maquina victima ya que también se puede hacer eso.

<kbd>ssh-keygen -t rsa -b 2048 -f \~/.ssh/id\_rsa\_victima -q -N ""</kbd>

![](/files/RlVaJ5PlWrRz7HazCo49)

Este comando me crea las id\_rsa para acceder sin contraseña.

Al la id\_rsa\_victima.pub la nombro authorized\_keys, la cual se va a subir a la carpeta .ssh pero antes se le da permisos 600.

Una vez subido el archivo, me conecto a través del ssh como remi.

Realizo un reconocimiento de la maquina.

Como se vio en la web, en la carpeta .ssh donde se encuentran las id\_rsa, había una llamada root.

Me dirijo hacia allí y veo que es una id\_rsa, por ende me voy a conectar a través del ssh a la maquina proporcionándole esta id\_rsa (root)

Si sale este error agregar:

`ssh -i root` [`root@127.0.0.1`](mailto:root@127.0.0.1) `-o IdentitiesOnly=yes`

ROOT.


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://1gnotus.gitbook.io/ignotus_pwn/proving-ground-practice-and-play/writeup/maquina-boolean-modificacion-de-request-con-burpsuite-confirmed-true-+-lfi-+-upload-id_rsa-an.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.