RedCross von HackTheBox war wie ein Labyrinth, mit mehreren verschiedenen Pfaden, um Shell und Root zu erreichen. Wir beginnen mit der Auflistung einer Website und demonstrieren zwei verschiedene Techniken, SQL-Injection und XSS, um ein Cookie zu erhalten, das zum Zugriff auf das Admin-Panel verwendet werden kann. Dann erhalten wir entweder mithilfe eines Exploits im Haraka SMTP-Server oder einer Injektion in eine Webseite und Manipulation der PostgreSQL-Datenbank, die die Benutzer im SSH-Jail verwaltet, als Penelope Zugriff auf die Box. Schließlich demonstrieren wir drei verschiedene Möglichkeiten zur Eskalation zum Root sowie zwei zusätzliche Ansätze, die unter anderem die Datenbank einbeziehen.

Video-Komplettlösung

CTF-Beschreibungen, HackTheBox Rotes Kreuz, OWASP, SQL-Inektion, XSS

Anmerkungen anzeigen

Motasem

Über den Autor

Ich erstelle Notizen zur Cybersicherheit, Notizen zum digitalen Marketing und Online-Kurse. Ich biete auch Beratung zum digitalen Marketing an, einschließlich, aber nicht beschränkt auf SEO, Google- und Meta-Anzeigen und CRM-Verwaltung.

Artikel anzeigen

Demonstration der XSS-, RCE- und PostgreSQL-Ausnutzung | HackTheBox Rotes Kreuz

Schreiben Sie einen Kommentar Antworten abbrechen

Motasem

Über den Autor

Andere Geschichten

Rechteausweitung unter Linux durch X11-Autorisierung | HackTheBox besiegt

So umgehen Sie Datei-Upload-Erweiterungsfilter P10 | TryHackMe Opacity

Drücken Sie ESC zum Schließen

Demonstration der XSS-, RCE- und PostgreSQL-Ausnutzung | HackTheBox Rotes Kreuz

Schreiben Sie einen Kommentar Antworten abbrechen

Motasem

Über den Autor

Artikel teilen:

Andere Geschichten

Rechteausweitung unter Linux durch X11-Autorisierung | HackTheBox besiegt

So umgehen Sie Datei-Upload-Erweiterungsfilter P10 | TryHackMe Opacity