# Election

Empezamos por lo basico escaneo de puertos abiertos que en este caso tenemos dos. *** ```javascript # Nmap 7.94SVN scan initiated Mon Feb 5 11:02:45 2024 as: nmap -sCV -p22,80 -oN target.txt 192.168.188.211 Nmap scan report for 192.168.188.211 Host is up (0.052s latency). PORT STATE SERVICE VERSION 22/tcp open ssh OpenSSH 7.6p1 Ubuntu 4ubuntu0.3 (Ubuntu Linux; protocol 2.0) | ssh-hostkey: | 2048 20:d1:ed:84:cc:68:a5:a7:86:f0:da:b8:92:3f:d9:67 (RSA) | 256 78:89:b3:a2:75:12:76:92:2a:f9:8d:27:c1:08:a7:b9 (ECDSA) |_ 256 b8:f4:d6:61:cf:16:90:c5:07:18:99:b0:7c:70:fd:c0 (ED25519) 80/tcp open http Apache httpd 2.4.29 ((Ubuntu)) |_http-title: Apache2 Ubuntu Default Page: It works |_http-server-header: Apache/2.4.29 (Ubuntu) Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel Service detection performed. Please report any incorrect results at https://nmap.org/submit/ . # Nmap done at Mon Feb 5 11:02:54 2024 -- 1 IP address (1 host up) scanned in 8.69 seconds ``` Observamos las versiones y servicios que corren para cada uno de los dos puertos. ***

Si vamos a un archivo tipico que aveces lo podemos encontrar el robots.txt, encontramos nombres de posibles directorios, pero el unico funcional es election. ***

Si nos vamos a election nos encontramos con esta pagina, y con un input para la entrada de datos que nos pide tipo codigo de votante. ***

Le meti del 1 al 9 y me dio este error, asi que interceptamos la peticion con BurpSuite para ver como esta estructurada esa peticion de error. ***

Observamos un codigo de estado 403, que se esta cargando del recurso election/admin, nosotros estamos en election, ahora tenemos un nuevo directorio a donde avanzar. Si no lo hubiesemos visto con BurpSuite lo podriamos haber fuzzeado con Wfuzz. ***

Si nos vamos ahora al directorio admin tenemos esto, vamos a fuzzear por aca. ***

Fuzzeamos con wfuzz y encontramos varias cositas, pero el que se ve interesante es logs. ***

Si nos vamos a logs pues encontramos este archivo system.log. ***

Nos lo descargamos y le hechamos un ojo, observamos que tenemos de regalo un usuario y contraseña, donde probamos estas credenciales, pues en el otro puerto que esta abierto SSH. ***

Nos conectamos por SSH con las credenciales encontradas, y tenemos la primera bandera. ***

Se me olvido hacer captura de esta parte, pero si desde la raiz de la maquina pone; find \\-perm -4000 2>/dev/null te saldra este binario Serv-U que es algo tipo administrador de usuarios en FTP. Bueno este binario lo podemos usar para escalar pirvilegios, encontramos un exploit que esta hecho en bash, nos lo descargamos. ***

Nos lo transferimos a la maquina victima. ***

Lo ejecutamos y whoami somos root. ***

Ahora siendo root, pues vamos por la ultima bandera la bandera de root. Y pues bueno maquina resuelta gracias a la virgencita de guadalupe. --- # Agent Instructions: Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://rodgar.gitbook.io/rodgar/plataformas/vulnhub/election.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.