فرضية

في هذا الفيديو التفصيلي، قمنا بتغطية الخطوات المتخذة لإجراء اختبار لوجود ثغرة أمنية في حقن SQL. استخدمنا TryHackMe Advent of Cyber 2 / اليوم 5 / قام شخص ما بسرقة قائمة هدايا سانتا! كسيناريو عملي.

وصف التحدي

بعد هجوم العام الماضي، عمل سانتا وفريق الأمن بجد على إحياء بوابة سانتا الشخصية. ومن ثم، تم بث "منتدى سانتا 2".

بعد الهجوم، كشفت السجلات أن شخصًا ما قد عثر على لوحة سانتا على الموقع وقام بتسجيل الدخول إلى حسابه! وبعد القيام بذلك، تمكنوا من تفريغ قاعدة بيانات قائمة الهدايا بأكملها، وحصلوا على جميع هدايا 2020 بين أيديهم. هدد أحد المهاجمين بنشر ملف Wishlist.txt، الذي يحتوي على جميع المعلومات، ولكن لحسن الحظ، بالنسبة لنا، تم القبض عليه من قبل CBI (مكتب تحقيقات عيد الميلاد) قبل ذلك. على MACHINE_IP:8000 ستجد نسخة من موقع الويب وهدفك هو تكرار تصرفات المهاجم عن طريق التخلص من قائمة الهدايا!

احصل على ملاحظات شهادة OSCP

أسئلة التحدي

  • بدون استخدام القوة الغاشمة للدليل، ما هي لوحة تسجيل الدخول السرية لسانتا؟
  • كم عدد الإدخالات الموجودة في قاعدة بيانات الهدايا؟
  • ماذا طلب بولس؟
  • ما هو العلم؟
  • ما هي كلمة مرور المشرف؟

الأجوبة / اليوم الخامس

بدون استخدام القوة الغاشمة للدليل، ما هي لوحة تسجيل الدخول السرية لسانتا؟

قم بزيارة لوحة تسجيل الدخول السرية الخاصة بـ Santa وتجاوز تسجيل الدخول باستخدام SQLi

كم عدد الإدخالات الموجودة في قاعدة بيانات الهدايا؟

ماذا طلب بولس؟

ما هو العلم؟

ما هي كلمة مرور المشرف؟

تجول الفيديو

, , ,
عرض التعليقات

معتصم

عن المؤلف

أقوم بإنشاء ملاحظات حول الأمن السيبراني وملاحظات التسويق الرقمي والدورات التدريبية عبر الإنترنت. أقدم أيضًا استشارات التسويق الرقمي بما في ذلك، على سبيل المثال لا الحصر، تحسين محركات البحث وإعلانات Google وMeta وإدارة CRM.

عرض المقالات