RODGAR
  • Whoami
  • HackTheBox
    • Hard
      • ⛔HackTheBox Vintage
    • Medium
      • HackTheBox Cascade
      • HackTheBox TombWatcher
      • Copy of HackTheBox TombWatcher
      • HackTheBox Monteverde
      • HackTheBox Resolute
      • HackTheBox Administrator
      • HackTheBox Escape
      • HackTheBox Authority
    • Easy
      • HackTheBox Active
      • HackTheBox Sauna
      • HackTheBox Support
      • HackTheBox Forest
      • HackTheBox Cicada
      • HackTheBox Timelapse
      • HackTheBox Return
  • CTF WRITEUP's
    • TryHackme
      • TryHackme 0day
      • TryHackme Daily Bugle
      • TryHackme Blog
      • TryHackme Year of the Owl
      • TryHackme Wgel CTF
      • TryHackme Chill Hack
      • TryHackme Wonderland
      • TryHackne OhSINT
      • TryHackme Cold VVars
      • TryHackme Dav
      • TryHackme RootMe
      • TryHackMe Basic Pentesting
      • TryHackMe Simple-CTF
      • TryHackMe Vulnversity
      • Tryhackme Kenobi
    • Burp Suite
      • 1️⃣SQL Ijections
        • Laboratorio Uno
        • Laboratorio Dos
        • Laboratorio Tres
        • Laboratorio Cuatro
        • Laboratorio Cinco
        • Laboratorio Seis
        • Laboratorio Siete
    • VulnHub
      • Inferno
      • Election
      • SYMFONOS 3
      • SYMFONOS 2
      • DJinn-3
      • Durian 1
      • DarkHole 2
      • OffSec DC-9
      • OffSec Potato
      • OffSec Pwned1
      • OffSec VIKINGS
      • OffSec Tre
      • OffSec MoneyBox
      • OffSec DEATHNOTE
      • OffSec Gaara
      • OffSec NoName
      • OffSec Katana
      • OffSec Sick0s
    • The Hackers Labs
      • The Hackers Labs Offensive
      • The Hackers Labs Resident
      • The Hacker Labs Base
      • The Hackers Labs Statue
      • The Hackers Labs Luna
      • The Hackers Labs Templo
      • The Hackers Labs GOIKO
      • The Hackers Labs Microsoft
    • Hackmyvm
      • Hackmyvm UP
    • Pivoting
      • Pivoting
      • Internal TryHackme
      • Basic /Doctor
      • Pluck /Brain
  • Privilege escalation
    • Abuso de grupos de usuario especiales
      • Docker
      • LXD
      • ADM
    • Abuso de permisos incorrectamente implementados
    • Detección y explotación de Capabilities
    • Tareas Crom
    • Path Hijacking
    • Abusando de privilegios a nivel de Sudoers
    • Abusando de privilegios SUID
    • Linux Privilege Escalation
  • Shared Files
    • Share Windows Linux
      • Compartir de entre Windows y Linux
      • Compartir de Windows a linux [Impacket-Server]
    • Share Linux
      • Compartir de linux en [PHP]
  • OWASP TOP 10
    • SQL Injections
    • XSS
    • XXE
    • Path traversal Lab
    • LFI con Wrappers
    • Log Poisoning (LFI -> RCE)
    • Server-Side Template Injection (SSTI)
    • Ataque de oráculo de relleno (Padding Oracle)
    • Inyecciones LaTeX
    • Ataques de transferencia de zona (AXFR – Full Zone Transfer)
    • Enumeración y explotación de WebDAV
    • ShellShock
    • Enumeración y explotación de SQUID Proxies
    • Insecure Direct Object Reference (IDORs)
    • Json Web Token
    • Intercambio de recursos de origen cruzado (CORS)
    • Abuso de subidas de archivos
      • Laboratorio 1
      • Laboratorio 2
      • Laboratorio 3
      • Laboratorio 4
      • Laboratorio 5
      • Laboratorio 6
      • Laboratorio 7
      • Laboratorio 8
      • Laboratorio 9
  • Group 1
    • Recursos
Con tecnología de GitBook
En esta página
  1. CTF WRITEUP's
  2. VulnHub

Election

Hoy vamos a resolver la maquina Election1 de OffSec nivel de dificultad media

AnteriorInfernoSiguienteSYMFONOS 3

Última actualización hace 6 meses

Empezamos por lo basico escaneo de puertos abiertos que en este caso tenemos dos.

# Nmap 7.94SVN scan initiated Mon Feb  5 11:02:45 2024 as: nmap -sCV -p22,80 -oN target.txt 192.168.188.211
Nmap scan report for 192.168.188.211
Host is up (0.052s latency).

PORT   STATE SERVICE VERSION
22/tcp open  ssh     OpenSSH 7.6p1 Ubuntu 4ubuntu0.3 (Ubuntu Linux; protocol 2.0)
| ssh-hostkey: 
|   2048 20:d1:ed:84:cc:68:a5:a7:86:f0:da:b8:92:3f:d9:67 (RSA)
|   256 78:89:b3:a2:75:12:76:92:2a:f9:8d:27:c1:08:a7:b9 (ECDSA)
|_  256 b8:f4:d6:61:cf:16:90:c5:07:18:99:b0:7c:70:fd:c0 (ED25519)
80/tcp open  http    Apache httpd 2.4.29 ((Ubuntu))
|_http-title: Apache2 Ubuntu Default Page: It works
|_http-server-header: Apache/2.4.29 (Ubuntu)
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel

Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
# Nmap done at Mon Feb  5 11:02:54 2024 -- 1 IP address (1 host up) scanned in 8.69 seconds

Observamos las versiones y servicios que corren para cada uno de los dos puertos.

Si vamos a un archivo tipico que aveces lo podemos encontrar el robots.txt, encontramos nombres de posibles directorios, pero el unico funcional es election.

Si nos vamos a election nos encontramos con esta pagina, y con un input para la entrada de datos que nos pide tipo codigo de votante.

Le meti del 1 al 9 y me dio este error, asi que interceptamos la peticion con BurpSuite para ver como esta estructurada esa peticion de error.

Observamos un codigo de estado 403, que se esta cargando del recurso election/admin, nosotros estamos en election, ahora tenemos un nuevo directorio a donde avanzar. Si no lo hubiesemos visto con BurpSuite lo podriamos haber fuzzeado con Wfuzz.

Si nos vamos ahora al directorio admin tenemos esto, vamos a fuzzear por aca.

Fuzzeamos con wfuzz y encontramos varias cositas, pero el que se ve interesante es logs.

Si nos vamos a logs pues encontramos este archivo system.log.

Nos lo descargamos y le hechamos un ojo, observamos que tenemos de regalo un usuario y contraseña, donde probamos estas credenciales, pues en el otro puerto que esta abierto SSH.

Nos conectamos por SSH con las credenciales encontradas, y tenemos la primera bandera.

Se me olvido hacer captura de esta parte, pero si desde la raiz de la maquina pone; find \-perm -4000 2>/dev/null te saldra este binario Serv-U que es algo tipo administrador de usuarios en FTP.

Bueno este binario lo podemos usar para escalar pirvilegios, encontramos un exploit que esta hecho en bash, nos lo descargamos.

Nos lo transferimos a la maquina victima.

Lo ejecutamos y whoami somos root.

Ahora siendo root, pues vamos por la ultima bandera la bandera de root. Y pues bueno maquina resuelta gracias a la virgencita de guadalupe.