htb_retired

Valentine - это уникальная легкая машина, которая фокусируется на уязвимости Heartbleed, которая оказала разрушительное воздействие на системы по всему миру.

Bankrobber - это машина Windows с уровнем сложности Insane, на которой работает веб-сервер, уязвимый к XSS. Мы используем его для кражи куки администратора, которые используются для получения доступа к панели администратора. На панели обнаруживается дополнительная функциональность, которая может быть использована для чтения файлов, а также выполнения кода и получения опорной точки. Неизвестный сервис, работающий на машине, уязвим к переполнению буфера, что может быть использовано для выполнения произвольных команд в качестве SYSTEM.

Простая машина из третьей недели сезона аномалий на HackTheBox на Windows. Пробуем LFI, атакуем клиента с помощью той самой уязвимости в Outlook, поднимаем привилегии с помощью старой уязвимости в LibreOffice.

Worker - это машина средней сложности, которая показывает, как можно злоупотреблять конвейером Azure DevOps. Она начинается с извлечения исходного кода из SVN-сервера, а затем переходит к локальной установке Azure DevOps, которая может быть использована для получения доступа и повышения привилегий.

Интуиция — это два XSS, перетекающие в SSRF/LFI, затем длительное чтение логов, реверс и в конце Command Injection. Ну, а вы что хотели от сложной машины на Linux?

Лабораторная машина CTF платформы HackTheBox уровня Easy под управлением ОС Windows, в которой напишем скрипт для брутфорса разрешенных для загрузки файлов и с помощью него загрузим шелл.

Первая неделя сезона аномалий на HackTheBox, и мы пробуем свои силы в эксплуатации CVE-2023-42793 в старой версии TeamCity, а позже поднимаем привилегии с помощью Portainer.

Лабораторная машина CTF платформы HackTheBox уровня Easy под управлением ОС Linux, содержащая задания на декодирование данных из различных форматов (ook, brainfuck) и применение публичного эксплоита. Для повышения привилегий придется написать ROP-эксплоит.

Простая межсезонная машина HackTheBox на Linux с SQL Injection, переиспользованием паролей и неправильным использованием системных утилит.

Лабораторная машина CTF платформы HackTheBox уровня Medium под управлением ОС Linux, в которой проэксплуатируем уязвимость в веб-приложении, связанную с регистрацией пользователя, затем раскрутим ее до Local File Inclusion и вытащим приватный ключ пользователя, чтобы получить доступ к системе. Наконец, повысим привилегии с помощью logrotten.