لقد أظهرنا إمكانية الوصول إلى الجذر إلى حاوية عامل إرساء تقوم بتشغيل خادم ويب بقاعدة بيانات SQL. لقد بدأنا باستغلال ثغرة XSS المنعكسة في موقع الويب الذي يدير سوقًا للتجارة الإلكترونية. لقد مكننا ذلك من المتابعة والحصول على حق الوصول الإداري إلى حساب المسؤول حيث اكتشفنا حقنة SQL التي تتيح لنا المضي قدمًا والكشف عن سجلات قاعدة البيانات. استخدمنا السجلات لتسجيل الدخول باسم SSH وتنفيذ تصعيد الامتيازات من خلال استغلال البطاقة البرية في أداة الأرشفة tar والتي أوصلتنا في النهاية إلى حاوية عامل إرساء. من خلال تثبيت نظام الملفات الجذر على حاوية من اختيارنا، تمكنا من استخراج علامة الجذر. كان هذا جزءًا من جربHackMe السوق.
إجابات الغرفة
ما هو العلم 1؟
ما هو العلم 2؟ (ملف المستخدم)
ما هو العلم 3؟ (الجذر.txt)
تجول الفيديو
عرض التعليقات
