Десятая неделя пятого сезона, и мы пробуем фишинг с помощью XLL. После фишинга сменим пароль пользователю и повысимся до максимальных привилегий в системе с помощью самописного софта.
HackTheBox Editorial
Сегодня все просто: смотрим на простую машину с SSRF, переиспользованием паролей и кредами в коде.
HackTheBox Blurry
Привет всем дата-сайентистам. Сегодня трогаем ClearML и прокидываем нагрузку в Pickle-модели.
HackTheBox Freelancer
Сложная машина на Windows: ступаем на землю с помощью IDOR и xp_cmdtree, забираем пользователя с помощью оставленных кредов, повышаем привилегии с помощью форензики и магии Active Directory.
HackTheBox BoardLight
Машина BoardLight - это легкая машина из серии HackTheBox, которая позволяет отработать навыки эксплуатации уязвимости CVE-2023-30253 и повышения привилегий через дырявый SUID-бинарник. Time to target practice.
HackTheBox MagicGardens
Магические сады сезона аномалий - это машина очень сложного уровня на линуксе, где вам предстоит много брутить и искать прикольные пути, а в конце убегать из контейнера.
HackTheBox SolarLab
Не очень приятная машина среднего уровня сложности на Windows. Наш путь лежит через анонимный доступ к Samba, брутфорс пользователя, CVE-2023-33733 и CVE-2023-32315, а также через переиспользование пароля.
HackTheBox Mailing
Простая машина из третьей недели сезона аномалий на HackTheBox на Windows. Пробуем LFI, атакуем клиента с помощью той самой уязвимости в Outlook, поднимаем привилегии с помощью старой уязвимости в LibreOffice.
HackTheBox Intuition
Интуиция — это два XSS, перетекающие в SSRF/LFI, затем длительное чтение логов, реверс и в конце Command Injection. Ну, а вы что хотели от сложной машины на Linux?
HackTheBox Runner
Первая неделя сезона аномалий на HackTheBox, и мы пробуем свои силы в эксплуатации CVE-2023-42793 в старой версии TeamCity, а позже поднимаем привилегии с помощью Portainer.