<- HTB

BroScience


19 minutos de lectura

BroScience
Hack The Box. Linux. Máquina media. Esta máquina tiene un sitio web vulnerable a lectura de archivos locales que se puede usar para leer código PHP y encontrar una manera de activar una nueva cuenta. Luego, podemos usar un ataque de deserialización en PHP para obtener RCE. Después de eso, encontramos el hash de una contraseña en la base de datos que puede ser descifrada y reutilizada en el sistema. Finalmente, hay una tarea Cron ejecutada por root para renovar certificados de OpenSSL y el script presenta una vulnerabilidad de inyección de comandos, lo que conduce a la escalada de privilegios