Временная скидка 60% на годовую подписку!

GTFOBins

Для подписчиков

HTB CozyHosting. Эксплуатируем инъекцию команд в веб-приложении на Java

Сегодня мы с тобой поработаем с фреймворком Spring Boot и проведем инъекцию команд, чтобы получить доступ к веб‑серверу. Захватив сессию, покопаемся в базе данных в поисках учетных данных, а при повышении привилегий применим технику GTFOBins для SSH.

Xakep #298

HTB Sau. Раскручиваем цепочку SSRF и инъекций команд до захвата веб-сервера

В этом райтапе я покажу процесс эксплуатации SSRF-уязвимостей и инъекции команд операционной системы при атаке на веб‑сервер на Linux. Получив доступ к SSH, мы используем технику GTFOBins, чтобы повысить привилегии через системную утилиту systemctl.

Xakep #291

HTB Bagel. Захватываем сервер через десериализацию JSON в .NET

В этом райтапе я покажу, как реверсить библиотеку .NET DLL, чтобы найти уязвимость в ней. По пути проэксплуатируем уязвимость LFI в веб-сайте, а при повышении привилегий задействуем технику GTFOBins для приложения .NET, запущенного в Linux.

Xakep #286

HTB UpDown. Эксплуатируем Race Condition при атаке на веб-сервер

В этом райтапе я подробно покажу, как искать скрытые данные на сайте, затем покопаемся в его исходниках и получим RCE при эксплуатации Race Condition. Для полного захвата хоста используем ошибку в программе на Python и применим одну из техник GTFOBins.

Xakep #286

HTB Shoppy. Повышаем привилегии через группу Docker

В этом райтапе я покажу разные техники сканирования веб-сайта, затем проэксплуатируем инъекцию NoSQL, чтобы обойти авторизацию. Под конец прохождения разберемся с пользовательским менеджером паролей и повысим привилегии через группу Docker.

25 лет «Хакеру»!

Еженедельный дайджест

Спасибо за подписку! Мы будем присылать важные новости ИБ в еженедельном дайджесте
Ошибка при подписке Случилась ошибка при создании подписки на наш дайджест. Пожалуйста, попробуйте позднее
Важные события и скидка на подписку:
«ХАКЕР» ДОСТУПЕН ТОЛЬКО В ЭЛЕКТРОННОЙ ВЕРСИИ
Оформи подписку — получи:
  • доступ к платным материалам сайта
  • доступ ко всем номерам PDF
4000 р.
на год
920 р.
на месяц

«Хакер» в соцсетях

Материалы для подписчиков