الصليب الأحمر من HackTheBox كان مثل المتاهة، مع عدة مسارات مختلفة للوصول إلى الصدفة والجذر. سنبدأ بإدراج موقع ويب وإظهار تقنيتين متميزتين، حقن SQL وXSS، للحصول على ملف تعريف الارتباط الذي يمكن استخدامه للوصول إلى لوحة الإدارة. بعد ذلك، باستخدام إما استغلال في خادم Haraka SMTP أو الحقن في صفحة ويب ومعالجة قاعدة بيانات PostgreSQL التي تدير المستخدمين في سجن ssh، سنتمكن من الوصول إلى الصندوق باسم Penelope. أخيرًا، سنعرض ثلاث طرق مختلفة للتصعيد إلى الجذر، بالإضافة إلى طريقتين إضافيتين تتضمنان قاعدة البيانات فيما بينها.
تجول الفيديو
عرض التعليقات