Skip to content

Máquina Payday

Fecha: 21 de diciembre de 2025
Objetivo: Obtener privilegios de Root
Dirección IP: 192.168.236.39

🕵️ 1. Fase de Reconocimiento y Enumeración

El ataque comenzó con un escaneo exhaustivo de servicios utilizando Nmap. Los resultados revelaron un entorno Linux envejecido con múltiples vectores potenciales.

Escaneo de Nmap

PORT    STATE SERVICE     VERSION
22/tcp  open  ssh         OpenSSH 4.6p1 Debian 5build1 (protocol 2.0)
80/tcp  open  http        Apache httpd 2.2.4 ((Ubuntu) PHP/5.2.3-1ubuntu6)
|_http-title: CS-Cart. Powerful PHP shopping cart software
110/tcp open  pop3        Dovecot pop3d
139/tcp open  netbios-ssn Samba smbd 3.X - 4.X
445/tcp open  netbios-ssn Samba smbd 3.0.26a

Análisis técnico:

  • Puerto 80: Ejecuta CS-Cart, un software de carrito de compras en PHP. El título y los headers confirman una versión vulnerable.
  • Puerto 22: Un OpenSSH muy antiguo que probablemente requiera configuraciones especiales de cifrado en el cliente moderno.
  • Puerto 445: Samba 3.0.26a, lo que sugiere una máquina con bastantes años de antigüedad.

🧨 2. Intrusión Inicial: Explotación Web (RCE)

Al investigar la aplicación CS-Cart, se identificó una vulnerabilidad de RCE autenticado (CVE-2020-09-22).

  • Preparación del Payload: Se utilizó la reverse shell clásica de PentestMonkey, editando la IP atacante a 192.168.45.195 y el puerto a 1234.
  • Evasión de Filtros: El sistema bloqueaba archivos .php, por lo que se renombró el payload a shell.phtml.
  • Subida y Ejecución: A través del Template Editor, se cargó el archivo en el servidor. Al navegar a http://192.168.236.39/skins/shell.phtml, el servidor ejecutó el código.
  • Conexión: El listener de Netcat recibió la conexión, otorgando acceso como el usuario www-data.

🐰 3. Movimiento Lateral: El Salto a Patrick

Dentro del sistema, la shell inicial era inestable (Python 3 no estaba disponible). Se procedió a enumerar los usuarios locales en /home.

  • Usuario localizado: patrick
  • Flag de Usuario: Se logró acceder a su directorio personal y leer la primera flag.

User Flag: 7ed0c8aa4f2e6ae1130faaf8e****************

  • Credenciales: Tras una fase de enumeración manual, se descubrió que Patrick utilizaba su propio nombre como contraseña (patrick:patrick).

Estabilización vía SSH

Debido a la antigüedad del servicio SSH detectado en el Nmap (OpenSSH 4.6p1), se utilizó el siguiente comando para permitir algoritmos legados:

ssh -oHostKeyAlgorithms=+ssh-rsa -oPubkeyAcceptedAlgorithms=+ssh-rsa patrick@192.168.236.39

👑 4. Escalada de Privilegios: Root

Con una shell estable como Patrick, se verificaron los privilegios de sudo.

Comando: sudo -l

Configuración: El resultado mostró que Patrick podía ejecutar cualquier comando como root sin restricciones: (ALL) ALL.

Ejecución:

sudo /bin/sh

Confirmación: Al ejecutar whoami, el sistema respondió root.

🏆 5. Post-Explotación y Flag Final

En el directorio /root, se localizó la prueba final de compromiso del sistema.

Root Flag: 2bc99c043f11d512f25e8f05****************