Cubrimos la explotación de la vulnerabilidad Insecure Direct Object Reference junto con la escalada de privilegios de Python como parte de HackTheBox Gorra Pista CREST CRT.
Cap es una máquina Linux de fácil dificultad que ejecuta un servidor HTTP, lo que permite a los usuarios capturar el tráfico no cifrado. Los controles inadecuados dan como resultado una referencia directa a objetos insegura (IDOR) que da acceso a la captura de otro usuario. La captura contiene credenciales en texto sin formato y se puede utilizar para afianzarse. Luego se aprovecha una capacidad de Linux para obtener root.
Tutorial en vídeo
Mostrar Comentarios