Blocky - в целом, довольно простая машина, основанная на случае из реальной жизни. Она демонстрирует риски плохих паролей, а также попадание внутренних файлов во внешнюю сеть. Кроме того, она на машине крутится сервер Minecraft. Существует десятки тысяч серверов, которые общедоступны, и подавляющее большинство из них настроены и настроены молодыми и неопытными системными администраторами.
HackTheBox Editorial
Сегодня все просто: смотрим на простую машину с SSRF, переиспользованием паролей и кредами в коде.
HackTheBox TartarSauce
TartarSauce - это довольно сложная машина, которая подчеркивает важность стадии разведки вместо фокусировки на очевидных, но потенциально менее перспективных векторах атак. Она содержит довольно реалистичное повышение привилегий, требующее злоупотребления командой tar. Для выполнения этой машины требуется внимание к деталям.
HackTheBox Blurry
Привет всем дата-сайентистам. Сегодня трогаем ClearML и прокидываем нагрузку в Pickle-модели.
HackTheBox Bitlab
Bitlab - это машина средней сложности Linux, на которой работает сервер Gitlab. На сайте обнаружена закладка, которая может автоматически заполнить учетные данные для входа в Gitlab. После входа в систему доступ разработчика пользователя может быть использован для записи в репозиторий и залития шелла с помощью git hooks. Обнаруживается, что локально работающий сервер PostgreSQL содержит пароль пользователя, который используется для получения доступа по SSH. Домашняя папка пользователя содержит Windows-бинарный файл, который реверсится для получения пароля root.
HackTheBox Time
Time - это машина средней сложности Linux, которая содержит веб-приложение для разбора JSON. Это приложение оказалось уязвимым к Java Deserialization, что было использовано для получения доступа на машине. После эксплуатации обнаружено, что системный таймер выполняет bash-скрипт, который можно модифицировать. Это было использовано для получения root-шелла на сервере.
HackTheBox BoardLight
Машина BoardLight - это легкая машина из серии HackTheBox, которая позволяет отработать навыки эксплуатации уязвимости CVE-2023-30253 и повышения привилегий через дырявый SUID-бинарник. Time to target practice.
HackTheBox Bastion
Bastion - это машина Windows с уровнем сложности Easy, которая содержит образ VHD (Virtual Hard Disk), из которого можно извлечь учетные данные. После входа в систему обнаруживается установленное программное обеспечение MRemoteNG, которое хранит пароли небезопасно и из которого можно извлечь учетные данные.
HackTheBox MagicGardens
Магические сады сезона аномалий - это машина очень сложного уровня на линуксе, где вам предстоит много брутить и искать прикольные пути, а в конце убегать из контейнера.
HackTheBox Valentine
Valentine - это уникальная легкая машина, которая фокусируется на уязвимости Heartbleed, которая оказала разрушительное воздействие на системы по всему миру.