Premisa

En este video tutorial, cubrimos los pasos seguidos para realizar una prueba de presencia de vulnerabilidad de inyección SQL. Usamos TryHackMe Advent of Cyber 2 / Día 5 / ¡Alguien robó la lista de regalos de Santa! como escenario práctico.

Descripción del desafío

Después del ataque del año pasado, Santa y el equipo de seguridad han trabajado duro para revivir el portal personal de Santa. Por lo tanto, se puso en marcha el 'Foro de Papá Noel 2'.

Después del ataque, los registros revelaron que alguien encontró el panel de Santa en el sitio web e inició sesión en su cuenta. Después de hacerlo, pudieron deshacerse de toda la base de datos de la lista de regalos y tener todos los regalos de 2020 en sus manos. Un atacante amenazó con publicar un archivo wishlist.txt que contenía toda la información, pero afortunadamente para nosotros, el CBI (Oficina de Investigación de Navidad) lo atrapó antes. En IP_MAQUINA:8000 Encontrarás la copia del sitio web y tu objetivo es replicar las acciones del atacante deshaciéndote de la lista de regalos.

Obtenga notas del certificado OSCP

Preguntas de desafío

  • Sin utilizar la fuerza bruta del directorio, ¿cuál es el panel de inicio de sesión secreto de Santa?
  • ¿Cuántas entradas hay en la base de datos de regalos?
  • ¿Qué pidió Pablo?
  • ¿Qué es la bandera?
  • ¿Cuál es la contraseña de administrador?

Respuestas / Día 5

Sin utilizar la fuerza bruta del directorio, ¿cuál es el panel de inicio de sesión secreto de Santa?

Visite el panel de inicio de sesión secreto de Santa y omita el inicio de sesión usando SQLi

¿Cuántas entradas hay en la base de datos de regalos?

¿Qué pidió Pablo?

¿Qué es la bandera?

¿Cuál es la contraseña de administrador?

Tutorial en vídeo

Acerca del Autor

Instructor de Ciberseguridad y Nadador

Ver Artículos