فرضية
في هذا الفيديو التفصيلي، قمنا بتغطية الخطوات المتخذة لإجراء اختبار لوجود ثغرة أمنية في حقن SQL. استخدمنا TryHackMe Advent of Cyber 2 / اليوم 5 / قام شخص ما بسرقة قائمة هدايا سانتا! كسيناريو عملي.
وصف التحدي
بعد هجوم العام الماضي، عمل سانتا وفريق الأمن بجد على إحياء بوابة سانتا الشخصية. ومن ثم، تم بث "منتدى سانتا 2".
بعد الهجوم، كشفت السجلات أن شخصًا ما قد عثر على لوحة سانتا على الموقع وقام بتسجيل الدخول إلى حسابه! وبعد القيام بذلك، تمكنوا من تفريغ قاعدة بيانات قائمة الهدايا بأكملها، وحصلوا على جميع هدايا 2020 بين أيديهم. هدد أحد المهاجمين بنشر ملف Wishlist.txt، الذي يحتوي على جميع المعلومات، ولكن لحسن الحظ، بالنسبة لنا، تم القبض عليه من قبل CBI (مكتب تحقيقات عيد الميلاد) قبل ذلك. على MACHINE_IP:8000
ستجد نسخة من موقع الويب وهدفك هو تكرار تصرفات المهاجم عن طريق التخلص من قائمة الهدايا!
أسئلة التحدي
- بدون استخدام القوة الغاشمة للدليل، ما هي لوحة تسجيل الدخول السرية لسانتا؟
- كم عدد الإدخالات الموجودة في قاعدة بيانات الهدايا؟
- ماذا طلب بولس؟
- ما هو العلم؟
- ما هي كلمة مرور المشرف؟
الأجوبة / اليوم الخامس
بدون استخدام القوة الغاشمة للدليل، ما هي لوحة تسجيل الدخول السرية لسانتا؟
قم بزيارة لوحة تسجيل الدخول السرية الخاصة بـ Santa وتجاوز تسجيل الدخول باستخدام SQLi
كم عدد الإدخالات الموجودة في قاعدة بيانات الهدايا؟
ماذا طلب بولس؟
ما هو العلم؟
ما هي كلمة مرور المشرف؟