Wir haben abgedeckt HackTheBox – Freundschaftszone als Teil des CREST CRT-Tracks. Wir haben DNS-Zonenübertragung und SMB-Aufzählung durchgegangen und eine Rechteausweitung mithilfe der Python OS-Bibliothek durchgeführt.
FriendZone ist eine Linux-Box mit einfachem Schwierigkeitsgrad, die eine ziemlich umfangreiche Aufzählung erfordert. Durch eine Zonenübertragung werden virtuelle Hosts entdeckt. Es gibt offene Freigaben auf Samba, die Anmeldeinformationen für ein Administrator-Panel bereitstellen. Von dort aus wird ein LFI gefunden, das genutzt wird, um RCE zu erhalten. Es wird ein laufender Cron gefunden, der ein beschreibbares Modul verwendet, was ihn anfällig für Hijacking macht.
Video-Komplettlösung
Anmerkungen anzeigen