# MAQUINA ELECTION1 (Sito web Election 2.0 + PHPmyadmin login + Escalate Priv SERV U) Realizo un escaneo con nmap. ![](/files/N2NNXN3YLCLVL1kbRGQw) `nmap -p- --open -sS --min-rate 5000 -v -n -Pn ` ![](/files/NMUeumKYsg3pmKLDOCNw) Luego realizo un reconocimiento básico con los script de nmap. `nmap -p22,80 -sCV ` ![](/files/egahgRFEjRqhPnX8Ni4S) Como no tengo credenciales no tengo acceso a través del ssh por lo que paso a realizar un reconocimiento de la web. A simple viste veo que estoy antes un web basado en selecciones de sistemas. ![](/files/92NTMKhPanMbv1TKdJPG) Con wappalyzer veo las tecnologías que están corriendo en la web. ![](/files/VpVFCG8tnA5XYnJWirh6) Veo un posible usuario con nombre LOVE y admin1 ![](/files/lsnBHcajdxfSnYkI0Qcn) Seguido realizo un escaneo de directorios ocultos con gobuster Con dirbuster encuentro 3 rutar interesantes /javascript, /election y /phpmyadmin. ![](/files/MAsckltzL68Fq2kCYjwb) Como veo que al ejecutar gobuster los resultados quedan con el slash / o barra invertida, realizo otra búsqueda de directorios pero en los directorios antes encontrados. En este caso me encontró varias cosas en el directorio /election por ejemplo /admin. ![](/files/EKbs0n8FXO0lRjxE7V53) Dentro de este directorio me tope con un panel de sesión el cual debemos llenar con un ID. ![](/files/oUpoJBNuGbhyA5afUgWW) Hasta aca genial, luego con searchsploit busco si contiene alguna vulnerabilidad esta aplicacion. ![](/files/6OnTd88aBczX7w0v21qV) Al parecer es posible realizar un sql injection en el ID .. pero no tuvo efecto. INFO: [https://medium.com/@h.kehn1/election-2-0-authenticated-remote-code-](https://medium.com/%40h.kehn1/election-2-0-authenticated-remote-code-execution-vulnerability-f603491adb74) [execution-vulnerability-f603491adb74](https://medium.com/%40h.kehn1/election-2-0-authenticated-remote-code-execution-vulnerability-f603491adb74) Al probar con algunos numero en la sección del ID pude ingresar con los siguiente numeros : 1234 Ahora veo que me pide una contraseña del usuario LOVE la cual desconozco. ![](/files/JZWjAUmzxUxrye5jZE2H) Vuelvo a ver los directorios de ocultos encontrados con gobuster y entro a la ruta phpmyadmin. ![](/files/2ux3kksflnrOmclOj8ue) Probando credenciales ingreso al sitio con las siguientes credenciales: root = toor. ![](/files/eL1lxBsnD43BkYmEkSMC) Dentro de sitio puedo observar que estoy en la base de datos del sitio election por lo que paso a buscar si encuentro algunas credenciales interesantes. Encontré las credenciales de LOVE en formato md5 al tratar de crackearlas no tuve chances, también probé colocando el md5 para ver si funciona y puedo loguearme. ![](/files/UAg3WN0TpCyAnNHZtm93) ![](/files/g6uzeB4cxUPauBx6DQvS) Por lo que paso a cambiar la contraseña en una fácil, en este caso PASSWORD. ![](/files/k9sXj8sAQCl6QLL7lmES) ![](/files/8hJZquoetwbnTx2aJT8N) Ahora coloco la contraseña nueva o sea password en la sección de contraseñas y ya logueo como love siendo administrador. ![](/files/ugHRtImC3FvdhF7u3xlz) Como dije anteriormente como al buscar directorios algunos me quedaron con el slash volví a enumerar para buscar algo interesante en el sitio. Revisando uno por uno el mas interesante es el directorio LOGS >> el cual contiene unas credenciales. Por lo que directamente al tener el puerto ssh disponible voy a ver si me logueo con estas credenciales. Bingo estoy como usuario love dentro de la maquina, por lo que paso a realizar un reconocimiento de la maquina. Al listar los binarios veo que hay uno inusual llamado SERV-U Google me encontró lo siguiente: `Escalada Privada Serv-U` `Serv-U FTP Server, un servidor de protocolo de transferencia de archivos (FTP).` `Explotar Detalles` `La vulnerabilidad existe debido a un error no especificado en el manejo de argumento` Lo que hice fue copiar este script en bash dentro de la maquina. Le di permisos de ejecución y luego lo ejecute, esto me convirtió en usuario root teniendo el total control de la maquina. MAS INFO: [https://arnavtripathy98.medium.com/election-1-vulnhub-walkthrough-](https://arnavtripathy98.medium.com/election-1-vulnhub-walkthrough-6ae733f1db91) [6ae733f1db91](https://arnavtripathy98.medium.com/election-1-vulnhub-walkthrough-6ae733f1db91) --- # Agent Instructions: Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://1gnotus.gitbook.io/ignotus_pwn/proving-ground-practice-and-play/writeup/maquina-election1-sito-web-election-2.0-+-phpmyadmin-login-+-escalate-priv-serv-u.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.