Сайт использует сервис веб-аналитики Яндекс Метрика с помощью технологии «cookie». Пользуясь сайтом, вы даете согласие на использование данной технологии.

Политика конфиденциальности | Согласие на обработку персональных данных

HackTheBox: Взламываю web средней сложности SURVEILLANCE.HTB | КАК ПРОЙТИ SURVEILLANCE.HTB

Друзья, создание каждого выпуска — это большое вложение времени и сил. Если вам нравится то, что я делаю, и хочется поддержать, буду рад вашей помощи! Так же, если вы хотите прокачать свои навыки, буду рад, если вы зарегистрируетесь на HackTheBox по моей реферальной ссылке: 👉
Спасибо за поддержку! 💙 Как решить машину SURVEILLANCE на HackTheBox? В этом видео я демонстрирую прохождение Linux-машины средней сложности под названием SURVEILLANCE на платформе HackTheBox. Сначала я использую уязвимость удаленного выполнения кода в CraftCMS для закрепления на машине под учетной записью www-data. Затем идентифицирую и получаю доступ к базе данных MySQL, где нахожу хэши паролей. После неудачной попытки взлома bcrypt-хеша из базы данных CraftCMS, мне удается найти файл бэкапа базы данных. В нем обнаруживаю старую версию хеша SHA512, который успешно взламываю за считанные секунды, получая доступ к пользовательской учетной записи. Используя этот пароль, я подключаюсь к серверу по SSH. Обнаружив открытый локальный порт 8080, я понимаю, что это порт системы видеонаблюдения ZoneMinder. Создаю port forwarding на свою локальную машину для удаленного доступа. Затем эксплуатирую другую уязвимость удаленного выполнения кода в ZoneMinder и получаю доступ под другим пользователем, обладающим привилегиями sudo для запуска Perl-скриптов. Я использую один из этих скриптов для инъекции произвольной команды, что позволяет мне повысить свои привилегии до уровня root. Надеюсь, видео окажется вам полезным! Если остались вопросы, задавайте их в комментариях - с радостью помогу! ------------------------------------------------------------------------------------------------------ Мои статьи и врайтапы:
Заказать услуги:
Telegram чат:
Telegram канал:
Boosty.to:
X/Twitter:   / _mrcybersec   HackTheBox:
LinkedIn:   / mekan-bairyev   #HackTheBox, #LinuxHacking, #CyberSecurity, #EthicalHacking, #PenTesting, #CraftCMS, #ZoneMinder, #SSHAccess, #MySQLHacks, #PasswordCracking, #Bcrypt, #SHA512, #RemoteCodeExecution, #RootAccess, #PrivilegeEscalation, #InfoSec, #HackingTutorial, #CyberDefense, #NetworkSecurity, #PortForwarding, #SecurityBreach, #HackersLife, #SystemSecurity, #DigitalForensics, #SecurityTesting, #ExploitDevelopment, #CyberAttack, #SecurityVulnerability, #HackersToolbox, #TechHacks, #SecurityResearch, #DataBreach, #SudoPrivileges, #LinuxSecurity, #WebSecurity, #ITSecurity, #SecurityAwareness, #CodeExecution, #SecuritySolutions, #EthicalHacker

Смотрите также