# Payday **Fecha**: 21 de diciembre de 2025\ **Objetivo**: Obtener privilegios de Root\ **Dirección IP**: 192.168.236.39 ## 🕵️ 1. Fase de Reconocimiento y Enumeración El ataque comenzó con un escaneo exhaustivo de servicios utilizando Nmap. Los resultados revelaron un entorno Linux envejecido con múltiples vectores potenciales. ### Escaneo de Nmap ```bash PORT STATE SERVICE VERSION 22/tcp open ssh OpenSSH 4.6p1 Debian 5build1 (protocol 2.0) 80/tcp open http Apache httpd 2.2.4 ((Ubuntu) PHP/5.2.3-1ubuntu6) |_http-title: CS-Cart. Powerful PHP shopping cart software 110/tcp open pop3 Dovecot pop3d 139/tcp open netbios-ssn Samba smbd 3.X - 4.X 445/tcp open netbios-ssn Samba smbd 3.0.26a ``` ### Análisis técnico: * **Puerto 80**: Ejecuta CS-Cart, un software de carrito de compras en PHP. El título y los headers confirman una versión vulnerable. * **Puerto 22**: Un OpenSSH muy antiguo que probablemente requiera configuraciones especiales de cifrado en el cliente moderno. * **Puerto 445**: Samba 3.0.26a, lo que sugiere una máquina con bastantes años de antigüedad. ## 🧨 2. Intrusión Inicial: Explotación Web (RCE) Al investigar la aplicación CS-Cart, se identificó una vulnerabilidad de RCE autenticado (CVE-2020-09-22). * **Preparación del Payload**: Se utilizó la reverse shell clásica de PentestMonkey, editando la IP atacante a `192.168.45.195` y el puerto a `1234`. * **Evasión de Filtros**: El sistema bloqueaba archivos `.php`, por lo que se renombró el payload a `shell.phtml`. * **Subida y Ejecución**: A través del Template Editor, se cargó el archivo en el servidor. Al navegar a `http://192.168.236.39/skins/shell.phtml`, el servidor ejecutó el código. * **Conexión**: El listener de Netcat recibió la conexión, otorgando acceso como el usuario `www-data`. ## 🐰 3. Movimiento Lateral: El Salto a Patrick Dentro del sistema, la shell inicial era inestable (Python 3 no estaba disponible). Se procedió a enumerar los usuarios locales en `/home`. * **Usuario localizado**: `patrick` * **Flag de Usuario**: Se logró acceder a su directorio personal y leer la primera flag. > **User Flag**: `7ed0c8aa4f2e6ae1130faaf8e****************` * **Credenciales**: Tras una fase de enumeración manual, se descubrió que Patrick utilizaba su propio nombre como contraseña (`patrick:patrick`). ### Estabilización vía SSH Debido a la antigüedad del servicio SSH detectado en el Nmap (OpenSSH 4.6p1), se utilizó el siguiente comando para permitir algoritmos legados: ```bash ssh -oHostKeyAlgorithms=+ssh-rsa -oPubkeyAcceptedAlgorithms=+ssh-rsa patrick@192.168.236.39 ``` ## 👑 4. Escalada de Privilegios: Root Con una shell estable como Patrick, se verificaron los privilegios de sudo. ### Comando: `sudo -l` **Configuración**: El resultado mostró que Patrick podía ejecutar cualquier comando como root sin restricciones: `(ALL) ALL`. ### Ejecución: ```bash sudo /bin/sh ``` **Confirmación**: Al ejecutar `whoami`, el sistema respondió `root`. ## 🏆 5. Post-Explotación y Flag Final En el directorio `/root`, se localizó la prueba final de compromiso del sistema. > **Root Flag**: `2bc99c043f11d512f25e8f05****************` --- # Agent Instructions: Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://jotatito05.gitbook.io/la-bitacora-de-jotatito05/tjnull-list-retired/payday.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.