Descrizione
In questo video mostro un walkthrough completo della macchina DevOops offerta dalla piattaforma Hack The Box.
Timestamps
00:00 introduzione
04:12 scan con nmap
06:15 enumerazione sito flask
11:00 XXE su API che processa file XML
18:00 utilizzo della LFI
19:40 analisi codice flask feed.py
21:18 serializzazione e deserializzazione con pickle
28:12 RCE tramite pickle
33:22 enumerazione file server
37:00 user flag e id_rsa
39:00 continuo enumerazione file server
42:00 breve spiegazione git
47:00 utilizzo git per root flag
51:50 overview
Riferimenti / Materiale