Descrizione
In questo video mostro un walkthrough completo della macchina Faculty offerta dalla piattaforma Hack The Box.
Timestamps
00:00:00 introduzione
00:02:30 scan con nmap
00:04:15 gestione HTTP redirect automatico
00:07:44 webapp con SQL injection
00:09:55 enumerazione webapp
00:15:40 analisi generazione pdf con mPDF
00:24:40 LFI tramite le annotation di mPDF
00:31:00 scaricamento codice tramite LFI
00:36:00 login con ssh
00:38:00 cambiare utente con sudo -l e meta-git
00:44:20 linux capabilities
00:47:00 introduzione a PTRACE ed esempio di debugging
00:53:00 il problema di cap_sys_ptrace+ep
00:55:00 approccio 1: attaccarsi a python con gdb
01:03:00 approccio 2: caricare una libreria dinamica
Riferimenti / Materiale
https://github.com/advisories/GHSA-qcff-ffx3-m25c