Election VulnHub

Escaneo de puertos

nmap -p- --open -sS --min-rate 5000 -vvv -n -Pn <IP>
nmap -sCV -p<PORTS> <IP>

Info:

Starting Nmap 7.94SVN ( https://nmap.org ) at 2024-06-09 15:48 EDT
Nmap scan report for 192.168.5.178
Host is up (0.00049s latency).

PORT   STATE SERVICE VERSION
22/tcp open  ssh     OpenSSH 7.6p1 Ubuntu 4ubuntu0.3 (Ubuntu Linux; protocol 2.0)
| ssh-hostkey: 
|   2048 20:d1:ed:84:cc:68:a5:a7:86:f0:da:b8:92:3f:d9:67 (RSA)
|   256 78:89:b3:a2:75:12:76:92:2a:f9:8d:27:c1:08:a7:b9 (ECDSA)
|_  256 b8:f4:d6:61:cf:16:90:c5:07:18:99:b0:7c:70:fd:c0 (ED25519)
80/tcp open  http    Apache httpd 2.4.29 ((Ubuntu))
|_http-title: Apache2 Ubuntu Default Page: It works
|_http-server-header: Apache/2.4.29 (Ubuntu)
MAC Address: 00:0C:29:FF:DF:63 (VMware)
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel

Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 7.01 seconds

Gobuster

Info:

Por lo que vemos nos interesa /selection, por lo que tiraremos otro gobuster a /selection ya que dentro de ese archivo hay una pagina web simplona...

Info:

Nos interesan sobre todo /admin y /card.php, si nos metemos en admin veremos un panel de login el cual tenemos 5 intentos de login, pero si nos metemos en card.php veremos lo siguiente...

Por lo que parece es un codigo binario que esta codificado, por lo que lo decodificaremos...

URL = https://es.convertbinary.com/de-binario-a-texto/

Cuando lo decodificamos una vez vemos esto...

Pero si lo volvemos a decodificar, veremos lo siguiente...

Las credenciales para logearnos en /admin, por lo que cuando nos registremos estaremos en el panel de administrador de la pagina...

Pero no hay mucho que hacer por lo que veremos mas a fondo los subdirectorios que puede haber en /admin...

Info:

Vemos que nos descubrio varias cosas interesantes, entre ellas los /logs en los cuales podremos ver lo que ha echo el ususario love, se nos descargara un archivo...

En la siguiente linea veremos un inicio de sesion, por lo que probaremos a conectarenos por ssh...

Si probamos esa contraseña nos habremos metido por ssh con el usuario love...

Si nos vamos a /home/love/Desktop veremos la flag...

user.txt (flag1)

Si nos vamos a /var/www/ veremos un .bash_history bastante interesante, por lo que parece tiene un exploit la maquina y se utiliza el gcc...

Si hacemos lo siguiente...

Info:

Vemos que tenemos permisos SUID en el directorio de love y tambien vemos un pkexec por lo que haremos lo siguiente...

Esto actua como un /bin/bash que tiene permisos SUID, por lo que haremos lo siguiente...

URL = https://github.com/Almorabea/pkexec-exploit

Esto nos lo llevaremos al servidor victima, ya sea copiando el contenido de python o transferirlo con algun comando como curl o wget, una vez teniendolo dentro...

Info:

Con esto ya seriamos root, ahora leeremos la flag...

root.txt (flag2)

PreviousDurian VulnHubNextEmpire Lupin One VulnHub

Last updated