Descrizione
In questo video mostro un walkthrough completo della macchina Previse offerta dalla piattaforma Hack The Box.
Timestamps
00:00:00 introduzione
00:01:50 gestire redirect a horizontall.tb
00:04:11 enumerazione contenuto web server
00:06:00 enumerazione virtual hosts
00:14:40 enumerazione strapi
00:17:45 searchsploit per strapi CVEs
00:22:37 strapi exploit #1: CVE-2019-18818 (set password unauthenticated)
00:32:18 strapi exploit #2: CVE-2019-19609 (rce authenticated)
00:39:40 user.txt
00:24:15 aggiungere chiave ssh per login
00:44:55 enumerazione database mysql
00:49:00 ssh tunneling
00:52:00 laravel exploit #1: CVE-2021-3129 (debug-mode RCE)
01:00:14 root.txt
01:05:00 riassunto macchina
Riferimenti / Materiale