Abbiamo trattato lo sfruttamento della vulnerabilità Insecure Direct Object Reference insieme all'escalation dei privilegi Python come parte di Cappello HackTheBox Traccia CREST CRT.
Cap è una macchina Linux di facile difficoltà che esegue un server HTTP consentendo così agli utenti di acquisire il traffico non crittografato. Controlli impropri determinano l'IDOR (Insecure Direct Object Reference) che fornisce l'accesso all'acquisizione di un altro utente. L'acquisizione contiene credenziali di testo in chiaro e può essere utilizzata per prendere piede. Viene quindi sfruttata una funzionalità Linux per ottenere il root.
Videoprocedura dettagliata
Mostra commenti