Premessa
In questa procedura dettagliata video, abbiamo illustrato i passaggi necessari per eseguire un test per la presenza della vulnerabilità SQL injection. Abbiamo utilizzato TryHackMe Advent of Cyber 2 / Day 5 / Qualcuno ha rubato la lista dei regali di Babbo Natale! come scenario pratico.
Descrizione della sfida
Dopo l'attacco dell'anno scorso, Babbo Natale e il team di sicurezza hanno lavorato duramente per far rivivere il portale personale di Babbo Natale. Quindi, il "Forum di Babbo Natale 2" è stato pubblicato.
Dopo l'attacco, i log hanno rivelato che qualcuno ha trovato il pannello di Babbo Natale sul sito ed è entrato nel suo account! Dopo averlo fatto, sono riusciti a svuotare l’intero database delle liste dei regali, avendo tra le mani tutti i regali del 2020. Un utente malintenzionato ha minacciato di pubblicare un file wishlist.txt, contenente tutte le informazioni, ma fortunatamente per noi è stato catturato prima di ciò dal CBI (Christmas Bureau of Investigation). SU MACCHINA_IP:8000 troverai la copia del sito e il tuo obiettivo è replicare le azioni dell'aggressore scaricando la lista dei regali!
Ottieni le note sul certificato OSCP
Domande di sfida
- Senza usare la forzatura bruta della directory, qual è il pannello di accesso segreto di Babbo Natale?
- Quante voci ci sono nel database dei regali?
- Cosa chiese Paolo?
- Cos'è la bandiera?
- Qual è la password dell'amministratore?
Risposte / Giorno 5
Senza usare la forzatura bruta della directory, qual è il pannello di accesso segreto di Babbo Natale?
Visita il pannello di accesso segreto di Babbo Natale e ignora l'accesso utilizzando SQLi
Quante voci ci sono nel database dei regali?
Cosa chiese Paolo?
Cos'è la bandiera?
Qual è la password dell'amministratore?
