Election

Hoy vamos a resolver la maquina Election1 de OffSec nivel de dificultad media

Empezamos por lo basico escaneo de puertos abiertos que en este caso tenemos dos.

# Nmap 7.94SVN scan initiated Mon Feb  5 11:02:45 2024 as: nmap -sCV -p22,80 -oN target.txt 192.168.188.211
Nmap scan report for 192.168.188.211
Host is up (0.052s latency).

PORT   STATE SERVICE VERSION
22/tcp open  ssh     OpenSSH 7.6p1 Ubuntu 4ubuntu0.3 (Ubuntu Linux; protocol 2.0)
| ssh-hostkey: 
|   2048 20:d1:ed:84:cc:68:a5:a7:86:f0:da:b8:92:3f:d9:67 (RSA)
|   256 78:89:b3:a2:75:12:76:92:2a:f9:8d:27:c1:08:a7:b9 (ECDSA)
|_  256 b8:f4:d6:61:cf:16:90:c5:07:18:99:b0:7c:70:fd:c0 (ED25519)
80/tcp open  http    Apache httpd 2.4.29 ((Ubuntu))
|_http-title: Apache2 Ubuntu Default Page: It works
|_http-server-header: Apache/2.4.29 (Ubuntu)
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel

Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
# Nmap done at Mon Feb  5 11:02:54 2024 -- 1 IP address (1 host up) scanned in 8.69 seconds

Observamos las versiones y servicios que corren para cada uno de los dos puertos.

Si vamos a un archivo tipico que aveces lo podemos encontrar el robots.txt, encontramos nombres de posibles directorios, pero el unico funcional es election.

Si nos vamos a election nos encontramos con esta pagina, y con un input para la entrada de datos que nos pide tipo codigo de votante.

Le meti del 1 al 9 y me dio este error, asi que interceptamos la peticion con BurpSuite para ver como esta estructurada esa peticion de error.

Observamos un codigo de estado 403, que se esta cargando del recurso election/admin, nosotros estamos en election, ahora tenemos un nuevo directorio a donde avanzar. Si no lo hubiesemos visto con BurpSuite lo podriamos haber fuzzeado con Wfuzz.

Si nos vamos ahora al directorio admin tenemos esto, vamos a fuzzear por aca.

Fuzzeamos con wfuzz y encontramos varias cositas, pero el que se ve interesante es logs.

Si nos vamos a logs pues encontramos este archivo system.log.

Nos lo descargamos y le hechamos un ojo, observamos que tenemos de regalo un usuario y contraseña, donde probamos estas credenciales, pues en el otro puerto que esta abierto SSH.

Nos conectamos por SSH con las credenciales encontradas, y tenemos la primera bandera.

Se me olvido hacer captura de esta parte, pero si desde la raiz de la maquina pone; find \-perm -4000 2>/dev/null te saldra este binario Serv-U que es algo tipo administrador de usuarios en FTP.

Bueno este binario lo podemos usar para escalar pirvilegios, encontramos un exploit que esta hecho en bash, nos lo descargamos.

Nos lo transferimos a la maquina victima.

Lo ejecutamos y whoami somos root.

Ahora siendo root, pues vamos por la ultima bandera la bandera de root. Y pues bueno maquina resuelta gracias a la virgencita de guadalupe.