Kolay zorluktaki bir HackTheBox makinesi. Makinede websitesinin bir subdomain’inde bulunan SSTI zafiyetini kullanarak makinedeki bir kullanıcının id_rsa dosyasını elde edebiliyoruz. Makinede root tarafından çalıştırılan bir dosyanın yanlış yetkilendirmeleri olması nedeniyle root kullanıcısına erişebiliyoruz.
Tag: Code
OverTheWire / Bandit – 18 to 33 –
Bandit, Over The Wire sitesinin GNU/Linux tabanlı işletim sistemlerini yeni kullanmaya başlayan kullanıcılar için oluşturduğu meydan okumalardan oluşan bir seri görev dizisidir. Her bölümde istenen çıktıyı elde etmek için gereken komutları çalıştırarak bir sonraki bölümün kullanıcısına ait parola elde edilmeye çalışılıyor. Bu yazım, 18. bölümden 33. -son- bölüme kadar olan meydan okumaları nasıl çözdüğümü içeriyor.
NDG Linux Essentials Challenges
OverTheWire / Bandit – 0 to 17 –
Bandit, Over The Wire sitesinin GNU/Linux tabanlı işletim sistemlerini yeni kullanmaya başlayan kullanıcılar için oluşturduğu meydan okumalardan oluşan bir seri görev dizisidir. Her bölümde istenen çıktıyı elde etmek için gereken komutları çalıştırarak bir sonraki bölümün kullanıcısına ait parola elde edilmeye çalışılıyor. Bu yazım, ilk bölümden 17. bölüme kadar olan meydan okumaları nasıl çözdüğümü içeriyor.
HackTheBox / Secret
Kolay zorluktaki bir HackTheBox makinesi. Web üzerinde çalışan API’nin kaynak kodlarında gerekli tokenleri bulup düzenledikten sonra RCE ile makinede komut çalıştırabiliyoruz. Makine içerisinde SUID olarak ayarlanmış bir binary’i core dump ederek binary’nin o anda işlemeye çalıştığı dosyanın çıktısına erişebiliyoruz.