Wir haben die Lösung von Rickdiculouslyeasy Vulhub vorgestellt, bei der wir die Befehlsinjektion in der auf der Instanz laufenden Webanwendung demonstrierten, die es uns ermöglichte, vertrauliche Informationen wie Benutzernamen auf dem Computer aufzulisten und zu extrahieren. Mithilfe des Tools „String“ zum Extrahieren versteckter Passwörter konnten wir uns beim FTP-Speicherserver anmelden und weitere Hinweise extrahieren, die zur Lösung der Herausforderung und zum Extrahieren der Flagge führten.
Es handelt sich um eine virtuelle Box, die zum Einrichten eines Fedora-Servers verwendet wurde. Das Hauptziel besteht darin, Root-Zugriff auf den Computer zu erhalten. Das Ziel dieses unkomplizierten Boot 2 Root mit Rick-and-Morty-Thema besteht darin, so viele Flaggen wie möglich zu sammeln, um an die Spitze zu gelangen und insgesamt 130 Punkte zu erzielen.
Die Befehlsinjektion erfolgte am /cgi-bin/tracertool.cgi
Holen Sie sich Hinweise zum OSCP-Zertifikat
Der komplette praktische Kurs zum Penetrationstest von Webanwendungen
Video-Komplettlösung
