Prämisse
In dieser Videoanleitung haben wir die Schritte erläutert, die zum Testen auf das Vorhandensein einer SQL-Injection-Sicherheitslücke erforderlich sind. Als praktisches Szenario haben wir TryHackMe Advent of Cyber 2 / Tag 5 / Jemand hat die Geschenkliste des Weihnachtsmanns gestohlen! verwendet.
Beschreibung der Herausforderung
Nach dem Angriff im letzten Jahr haben Santa und das Sicherheitsteam hart daran gearbeitet, Santas persönliches Portal wiederzubeleben. Daher ging „Santas Forum 2“ online.
Nach dem Angriff haben Protokolle ergeben, dass jemand das Panel des Weihnachtsmanns auf der Website gefunden und sich in sein Konto eingeloggt hat! Danach konnte er die gesamte Geschenklisten-Datenbank leeren und alle Geschenke für 2020 in die Hände bekommen. Ein Angreifer hat gedroht, eine Wishlist.txt-Datei mit allen Informationen zu veröffentlichen, aber glücklicherweise wurde er vorher vom CBI (Christmas Bureau of Investigation) gefasst. MACHINE_IP:8000 Sie finden die Kopie der Website und Ihr Ziel besteht darin, die Aktionen des Angreifers zu replizieren, indem Sie die Geschenkliste stehlen!
Holen Sie sich Hinweise zum OSCP-Zertifikat
Herausforderungsfragen
- Was ist Santas geheimes Anmeldefenster, ohne Verzeichnis-Brute-Force-Angriffe durchzuführen?
- Wie viele Einträge gibt es in der Geschenkdatenbank?
- Was hat Paulus verlangt?
- Was ist die Flagge?
- Wie lautet das Administratorkennwort?
Antworten / Tag 5
Was ist Santas geheimes Anmeldefenster, ohne Verzeichnis-Brute-Force-Angriffe durchzuführen?
Besuchen Sie das geheime Anmeldefenster des Weihnachtsmanns und umgehen Sie die Anmeldung mit SQLi
Wie viele Einträge gibt es in der Geschenkdatenbank?
Was hat Paulus verlangt?
Was ist die Flagge?
Wie lautet das Administratorkennwort?
