# MAQUINA HAT (FUZZING WEB - BRUTE FORCE FTP - LFI - ACCESS IPV6 - PrivEsc NMAP)

Durante el pentesting se identifico los puertos abiertos con nmap.\
Los puertos 80 http y 65535 ftp se encuentra abiertos.

```
nmap --open -p- -sSCV --min-rate 5000 <ip> -v -n -Pn -oN fullscan
```

<figure><img src="/files/9eYE2szIkWY6orHR6zxt" alt=""><figcaption></figcaption></figure>

Se observo que la web nos lleva a un panel por default de apache, luego se realizo una búsqueda de directorios con feroxbuster.\
Se encontró un directorio con extension.log con información sensible.

<figure><img src="/files/WgZuTGEIPvSSulsguqXf" alt=""><figcaption></figcaption></figure>

<figure><img src="/files/bhi2ZiAVPXhIEmfCVcat" alt=""><figcaption></figcaption></figure>

Se identifico un usuario llamado admin\_ftp que logro acceder al ftp.\
Con hydra se realizo la búsqueda de la contraseña de tal usuario.

<figure><img src="/files/DFOgxtAkPGws6Fw6n0HU" alt=""><figcaption></figcaption></figure>

Se accedió al servicio ftp con dichas credenciales, una vez allí se identifico una carpeta con archivos interesantes.\
La clave id\_rsa se logro cracker mediante jhon the ripper.

<figure><img src="/files/Ok5Ixqp6FgHZcvhSpPZd" alt=""><figcaption></figcaption></figure>

Por motivos que la maquina posee el puerto 22 ssh cerrado, se procede a identificar algunos elementos en la web.

La web contiene un extensión llamada file.php, mediante fuerza bruta de directorios se logro obtener un parámetro identificado como "6" vulnerable a un LFI como también acceso a varias rutas con datos sensibles.

Esto se logro usando wfuzz ya que realizo escaneo en simultaneo para lograr dar con el parámetro y las rutas accesibles.

```
wfuzz -c -t 50 -z file,/usr/share/wordlists/dirb/common.txt -z file,/usr/share/wordlists/jhadix/etc-passwd.txt --hc 404,403 http://TARGET/FUZZ/FUZ2Z

DATA: COLOQUEN SUS WORDLISTS PARA LA DETECCION DE LOS PARAMETROS Y DEL LFI.
```

<figure><img src="/files/LGRvAo4vQD7Fv9XUaaGa" alt=""><figcaption></figcaption></figure>

<figure><img src="/files/5rvLUl2EC9VNxuXIfUkN" alt=""><figcaption></figcaption></figure>

Se identifico que cromiphi es usuario valido del sistema.

Para acceder al sistema se tuvo que utilizar la dirección ipv6, dicha dirección ipv6 se encontró gracias al LFI (/proc/net/if\_inet6)

Se muestra 2 direcciones, una global y la otra local.

```
Formato IPv6: 2800:21e1:4040:06bf:0a00:27ff:fedf:1425

- Esta es una dirección global única

Formato IPv6: fe80::a00:27ff:fedf:1425

- Esta es una dirección link-local (fe80::/64)
```

Se utilizo nmap para escanear los puertos abiertos usando la dirección ipv6 con la opción -6.

<figure><img src="/files/gaVWHSJ0mA6oCVfCe6Ge" alt=""><figcaption></figcaption></figure>

Al poseer la contraseña de la id\_rsa crackeada se logro con exito el acceso al sistema.

<figure><img src="/files/W4qExYBzQKcFu9ssDFIK" alt=""><figcaption></figcaption></figure>

Se constato que al ejecutar los permisos de sudoers (sudo -l ) hay un binario ejecutado por root llamado nmap.

Haciendo uso del recurso "gtfobins" siguiendo los pasos se logro escalar privilegios a usuario root.

<figure><img src="/files/AiiTsPXxzozKZPP9Ergr" alt=""><figcaption></figcaption></figure>


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://1gnotus.gitbook.io/ignotus_pwn/vulnyx/writeup/maquina-hat-fuzzing-web-brute-force-ftp-lfi-access-ipv6-privesc-nmap.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.