MAQUINA ELECTION1 (Sito web Election 2.0 + PHPmyadmin login + Escalate Priv SERV U)
Realizo un escaneo con nmap.
nmap -p- --open -sS --min-rate 5000 -v -n -Pn <IP>
Luego realizo un reconocimiento básico con los script de nmap.
nmap -p22,80 -sCV <IP>
Como no tengo credenciales no tengo acceso a través del ssh por lo que paso a realizar un reconocimiento de la web.
A simple viste veo que estoy antes un web basado en selecciones de sistemas.
Con wappalyzer veo las tecnologías que están corriendo en la web.
Veo un posible usuario con nombre LOVE y admin1
Seguido realizo un escaneo de directorios ocultos con gobuster
Con dirbuster encuentro 3 rutar interesantes /javascript, /election y /phpmyadmin.
Como veo que al ejecutar gobuster los resultados quedan con el slash / o barra invertida, realizo otra búsqueda de directorios pero en los directorios antes encontrados.
En este caso me encontró varias cosas en el directorio /election por ejemplo /admin.
Dentro de este directorio me tope con un panel de sesión el cual debemos llenar con un ID.
Hasta aca genial, luego con searchsploit busco si contiene alguna vulnerabilidad esta aplicacion.
Al parecer es posible realizar un sql injection en el ID .. pero no tuvo efecto. INFO:
https://medium.com/@h.kehn1/election-2-0-authenticated-remote-code- execution-vulnerability-f603491adb74
Al probar con algunos numero en la sección del ID pude ingresar con los siguiente numeros : 1234
Ahora veo que me pide una contraseña del usuario LOVE la cual desconozco.
Vuelvo a ver los directorios de ocultos encontrados con gobuster y entro a la ruta phpmyadmin.
Probando credenciales ingreso al sitio con las siguientes credenciales: root = toor.
Dentro de sitio puedo observar que estoy en la base de datos del sitio election por lo que paso a buscar si encuentro algunas credenciales interesantes.
Encontré las credenciales de LOVE en formato md5 al tratar de crackearlas no tuve chances, también probé colocando el md5 para ver si funciona y puedo loguearme.
Por lo que paso a cambiar la contraseña en una fácil, en este caso PASSWORD.
Ahora coloco la contraseña nueva o sea password en la sección de contraseñas y ya logueo como love siendo administrador.
Como dije anteriormente como al buscar directorios algunos me quedaron con el slash volví a enumerar para buscar algo interesante en el sitio.
Revisando uno por uno el mas interesante es el directorio LOGS >> el cual contiene unas credenciales.
Por lo que directamente al tener el puerto ssh disponible voy a ver si me logueo con estas credenciales.
Bingo estoy como usuario love dentro de la maquina, por lo que paso a realizar un reconocimiento de la maquina.
Al listar los binarios veo que hay uno inusual llamado SERV-U
Google me encontró lo siguiente:
Escalada Privada Serv-U
Serv-U FTP Server, un servidor de protocolo de transferencia de archivos (FTP).
Explotar Detalles
La vulnerabilidad existe debido a un error no especificado en el manejo de argumento
https://www.exploit-db.com/exploits/47173
Lo que hice fue copiar este script en bash dentro de la maquina.
Le di permisos de ejecución y luego lo ejecute, esto me convirtió en usuario root teniendo el total control de la maquina.
MAS INFO:
https://arnavtripathy98.medium.com/election-1-vulnhub-walkthrough-
Last updated