Nous avons couvert la solution de Rickdiculouslyeasy Vulhub où nous avons démontré l'injection de commandes dans l'application Web exécutée sur l'instance, ce qui nous a permis d'énumérer et d'extraire des informations sensibles telles que les noms d'utilisateur sur la machine. En utilisant l'outil « chaîne » pour extraire les mots de passe cachés, nous avons pu nous connecter au serveur de stockage FTP et extraire davantage d'indices qui ont permis de résoudre le défi et d'extraire le drapeau.
Il s'agit d'une boîte virtuelle qui a été utilisée pour établir un serveur Fedora. Obtenir un accès root à l'ordinateur est l'objectif principal. L'objectif de cette racine de démarrage 2 simple sur le thème de Rick et Morty est de rassembler autant de drapeaux que possible pour atteindre le sommet, gagnant un total de 130 points.
L'injection de commande a été effectuée sur /cgi-bin/tracertool.cgi
Obtenir les notes du certificat OSCP
Le cours pratique complet sur les tests d’intrusion d’applications Web
Vidéo pas à pas
