In questo post, abbiamo dimostrato come sfruttare SSRF per scoprire servizi nascosti interni. Abbiamo eseguito l'escalation dei privilegi utilizzando l'exploit Wget CVE-2016-4971. Abbiamo utilizzato materiale di laboratorio da HackTheBox Kotarak.

Falsificazione di richieste SSRF o lato server è una vulnerabilità che consente a un utente malintenzionato di controllare e manipolare i parametri URL per accedere a risorse interne o scoprire servizi nascosti.

Ottieni sfruttamento CVE-2016-4971

L'exploit funziona quando la versione [wget] è precedente alla [1.18].

Crea un file di configurazione [.wgetrc] sul tuo computer e digita il contenuto seguente.

Crea e ospita il file di configurazione con un server FTP utilizzando Python.

Avvia un ascoltatore sul tuo computer.

Trasferisci l'exploit sul computer di destinazione ed eseguilo

Scaricamento Materiale didattico HTB Kotarak in PDF

Ottieni le note sul certificato OSCP

Video walk-through

Rivalutazioni CTF, CVE, HackTheBox, OWASP, SSRF

Mostra commenti

Motasem

Circa l'autore

Creo note sulla sicurezza informatica, note di marketing digitale e corsi online. Fornisco anche consulenza di marketing digitale, inclusi ma non limitati a SEO, annunci Google e Meta e amministrazione CRM.

Visualizza articoli

Sfruttare la falsificazione delle richieste lato server (SSRF) | HackTheBox Kotarak

Lascia un commento Annulla risposta

Motasem

Circa l'autore

Altre storie

Sicurezza delle immagini di bucket e container Amazon AWS | TryHackMe L'avvento di Cyber 3

Sfide della riga di comando di Linux | CTF Bandito di OverTheWire

Premere ESC per chiudere

Sfruttare la falsificazione delle richieste lato server (SSRF) | HackTheBox Kotarak

Lascia un commento Annulla risposta

Motasem

Circa l'autore

Condividi articolo:

Altre storie

Sicurezza delle immagini di bucket e container Amazon AWS | TryHackMe L'avvento di Cyber 3

Sfide della riga di comando di Linux | CTF Bandito di OverTheWire