En primer lugar comienzo por lanzar un escaneo de puertos para comenzar a estudiar la superficie de ataque y ver que posibles ángulos hay para vulnerar la máquina.
El puerto 22 está sirviendo SSH y hay un servidor HTTP funcionando en el 80, a falta de más info voy a echar un ojo a la página
Se trata de una página corporativa con registros o "noticias" de lo ocurrido en la empresa, hay un par de entradas interesantes como un aviso de contraseña débil (posible ataque diccionario) y otra que está firmada por una tal Carlota, del departamento de ciberseguridad. El siguiente paso es lanzar un fuzzeo para identificar rutas interesantes o recursos que pueda aprovechar para explotar.
Explotación
El fuzzeo no revela nada de interesante, así que se me ocurre probar a atacar SSH mediante diccionario con la información recavada en las entradas de la página. Pruebo a hacer un ataque diccionario al usuario carlota con hydra.
Doy con la clave gracia al ataque diccionario y ya puedo entrar como carlota
Post explotación
Lo primero es sanitizar la shell
Nada más navegar un poco veo que hay un directorio con una imagen de vacaciones, tras comprobar que la máquina tiene python, levanto un servidor HTTP para servir el archivo y llevarlo a mi máquina
Mientras tanto, en mi consola...
Se trata de una imagen de una pareja, aparentemente en una boda.
Usando steghide para revelar el contenido oculto en la imagen saco un string que está encodeado en base64, así que lo decodifico y obtengo una contraseña con la que pivotar al usuario oscar.
Una vez siendo oscar, al lanzar sudo -l y con una búsqueda rápida en GTFObins podemos escalar sin problemas a root.
