Тёмный

Прохождение  

Mekan Bairyev - MrCyberSec
Подписаться 22 тыс.
Просмотров 5 тыс.
50% 1
ВидеоПоделитьсяСкачатьДобавить в

Как решить машину CODIFY на HackTheBox?
Codify - это легкая Linux-машина, на которой установлено веб-приложение, позволяющее пользователям тестировать код `Node.js`. Приложение использует уязвимую библиотеку `vm2`, которая используется для удаленного выполнения кода. По мере исследования цели обнаруживается база данных `SQLite`, содержащая хэш, который, будучи взломанным, дает `SSH`-доступ к устройству. Наконец, уязвимый скрипт `Bash` может быть запущен с повышенными привилегиями для раскрытия пароля пользователя `root`, что приводит к получению привилегированного доступа к машине.
------------------------------------------------------------------------------------------------------
Мои статьи и врайтапы: maddevs.io/blog/authors/mekan...
Заказать услуги: maddevs.io/cybersecurity/
Telegram чат: t.me/+ls1duJayGB44YTFi
Telegram канал: t.me/MrCyberSec_channel
Boosty.to: boosty.to/mrcybersec
X/Twitter: / _mrcybersec
HackTheBox: app.hackthebox.com/profile/70...
LinkedIn: / mekan-bairyev
#VulnerabilityAssessment #WebApplication #SourceCodeAnalysis #Cryptography #Programming #injections #software #exploitation #idor #RemoteCodeExecution #RCE #Misconfiguration #python #sql #ReverseEngineering

Опубликовано:

 

28 ноя 2023

Поделиться:

Ссылка:

Скачать:

Готовим ссылку...

Добавить в:

Мой плейлист
Посмотреть позже
Комментарии : 38   
@evgeniyp1976
@evgeniyp1976 3 дня назад
посмотрев другие видео, имя пользователя joshua в хэше сразу смутило ) контент топ, случайно нашел, оооочень доступно объясняется. спасибо.
@lilkirill4407
@lilkirill4407 Месяц назад
Редко пишу комменты, но это супер крутой контент. У меня появилось новое хобби)) Большое спасибо за проделанную работу.
@CamelCase-dg6xp
@CamelCase-dg6xp 5 месяцев назад
Привет!! Очень классный канал, подача контента, прошу не забрасывайте его))) Я двухлетний девопс (бубернетесы ваши, пайплайны, автоматизация и.т.д), но с большим интересом смотрю в сетевую безопасность, пентест и всякие другие возможности вскрывания жоп. С интересом буду наблюдать за каналом
@lilkirill4407
@lilkirill4407 Месяц назад
ровно такая же история))
@zhuk
@zhuk Месяц назад
просто кайф, больше таких видео!
@romanryaboshtan9270
@romanryaboshtan9270 4 месяца назад
замечательно, продолжай то, что ты делаешь!!!
@andrey6906
@andrey6906 5 месяцев назад
Классный контент , продолжай в том же духе
@user-wy2qf5vr2s
@user-wy2qf5vr2s 5 месяцев назад
классно 🎉
@saber1in
@saber1in 5 месяцев назад
Продолжай в том же духе, отличный контент!
@robotiksillya8363
@robotiksillya8363 5 месяцев назад
прикольно давай еще
@paulbond8244
@paulbond8244 5 месяцев назад
Шикарный контент!
@cyberianoid
@cyberianoid 5 месяцев назад
*Вот негодяй. Песочницу взломал* 😁 Я както сунулся на хакатон от Райфайзен банка и там были похожие задания с поиском флагов. У меня есть опыт и админства и программирования, но я не смог даже самое простое задание выполнить т.к ни разу подобным не занимался. Теперь хоть понятно как думать нужно 😆
@MrCyberSec
@MrCyberSec 5 месяцев назад
Продолжайте пробовать! Участие в CTF - отличный способ прокачать навыки.
@sevangulov
@sevangulov Месяц назад
Да канал тоже понравился. Интересно.
@yesipovdaniel4943
@yesipovdaniel4943 4 месяца назад
Красавчик
@okuzmenko
@okuzmenko 5 месяцев назад
Классное видео. Можете пожалуйста подсказать что у вас за клавиатура и на каких свичах? Очень классно звучит 😍
@user-is6dr2zz5c
@user-is6dr2zz5c 5 месяцев назад
плюсую, тоже заинтересовало)
@MrCyberSec
@MrCyberSec 5 месяцев назад
Спасибо! Клава: Keychron K8 Pro QMK Свичи: Gateron G Pro Brown
@okuzmenko
@okuzmenko 5 месяцев назад
Большое спасибо!
@TheArtemus
@TheArtemus 5 месяцев назад
Не чего непонял, но залип
@user-iw8mh3tq3d
@user-iw8mh3tq3d Месяц назад
Скажите, а почему именно vim? почему нельзя использовать тотже nano? Или любые другие редакторы? Ну не прям "нельзя", а почему именно vim? Большая чать людей говорят - "Это олдсулько, профессионально и прочие симптомы" но никто не говорит почему все же vim. Есть ли у Вас свое мнение по этому вопросу?
@MrCyberSec
@MrCyberSec Месяц назад
Почему нельзя? Можно. Дело вкуса и привычек. Используйте нано, если нравится, это асболютно ОК.
@MrRussianuser
@MrRussianuser 5 месяцев назад
А зачем вы делаете перебор пароля DB_PATH? Можно же просто написать sudo bash и делать что хотите (ну или sudo cat /root/.creds)
@MrCyberSec
@MrCyberSec 5 месяцев назад
Из под sudo можно запускать лишь скрипт бекапа, это видно из аутпута команды sudo -l
@verchest3547
@verchest3547 5 месяцев назад
Нужны ли углубленные знания по математике для инфо беза?
@MrCyberSec
@MrCyberSec 5 месяцев назад
Скажу так: если нет углубленных знаний в математике, то это ниразу не повод отказываться преследовать путь инфобеза. Тут скорее про логическое мышление, чем про математику. Логику же развивать можно. Программирование - отличный способ!
@igorvlasiuk6432
@igorvlasiuk6432 4 месяца назад
почему пароль от рута совпал с паролем от дб? ето и есть уязвимость?пароль один?
@MrCyberSec
@MrCyberSec 4 месяца назад
Пароль от дб совпал с паролем от рута, но нам демонстрировали другое. Уязвимость в возможности эксфильтровать этот самый пароль из-за корявого условия проверки пользовательского пароля с паролем из файла /root/.creds
@igorvlasiuk6432
@igorvlasiuk6432 4 месяца назад
@@MrCyberSec ето я понял в bash script нельзя проверку через == делать. Просто если б пароль дб не совпал с паролем рута нужно было б продолжать что-то другое.
@MrCyberSec
@MrCyberSec 4 месяца назад
@@igorvlasiuk6432 Да, но в данном случае нам хотели продемонстрировать именно эту уязвимость и, так образом подведя к итогу машины. Есть машины сложнее уровнем и там так легко машины не заканчиваются:)
@dantesvss8036
@dantesvss8036 5 месяцев назад
Что то на инопланетном языке.. наверное вы рассказывали, какой я тупой в .. хрен знает в чём))
@MrCyberSec
@MrCyberSec 5 месяцев назад
@mrzibleez5535
@mrzibleez5535 5 месяцев назад
Can you provide penetrating test report for codify please 🙂
@MrCyberSec
@MrCyberSec 5 месяцев назад
Yes, my writeup is here: maddevs.io/writeups/hackthebox-codify/
@mrzibleez5535
@mrzibleez5535 5 месяцев назад
@@MrCyberSec I opened brother , but it shows like An error occurred in the application and your page could not be served. If you are the application owner, check your logs for details.
@MrCyberSec
@MrCyberSec 5 месяцев назад
​@@mrzibleez5535 which country are you accessing it from? Might be your ISP blocking.. Try opening it with VPN. I recommend using CloudFlare WARP technology. It's free and secures your internet connection.
@mrzibleez5535
@mrzibleez5535 5 месяцев назад
@@MrCyberSec india brother
@mrzibleez5535
@mrzibleez5535 5 месяцев назад
@@MrCyberSec which server did i want to choose?
Далее
Взламываем #web машинку DEVVORTEX.HTB, простого уровня | #HackTheBox | КАК ПРОЙТИ #DEVVORTEX.HTB
14:57
Взламываем #web машинку DEVVORTEX.HTB, простого уровня | #HackTheBox | КАК ПРОЙТИ #DEVVORTEX.HTB
Просмотров 6 тыс.
Прохождение #Linux-машины DRIVE.HTB, сложного уровня | #HackTheBox | КАК ПРОЙТИ #DRIVE.HTB
36:09
Прохождение #Linux-машины DRIVE.HTB, сложного уровня | #HackTheBox | КАК ПРОЙТИ #DRIVE.HTB
Просмотров 93 тыс.
Каково это - ЖИТЬ БЕЗ ЯЗЫКА? #апвоут #реддит #апвоутистории
00:52
Каково это - ЖИТЬ БЕЗ ЯЗЫКА? #апвоут #реддит #апвоутистории
Просмотров 264 тыс.
Кто из исторических личностей сейчас бы разрывал соцсети #апвоут #реддит #апвоутистории
00:59
Кто из исторических личностей сейчас бы разрывал соцсети #апвоут #реддит #апвоутистории
Просмотров 761 тыс.
Гость из будущего😂
00:20
Гость из будущего😂
Просмотров 313 тыс.
Nemo - The Code (LIVE) | Switzerland🇨🇭| Grand Final | Eurovision 2024
03:28
Nemo - The Code (LIVE) | Switzerland🇨🇭| Grand Final | Eurovision 2024
Просмотров 15 млн
уязвимости аутентификации | ЧЕМ ОПАСНЫ и ЧТО ВАЖНО ЗНАТЬ? | безопасность web приложений
11:09
уязвимости аутентификации | ЧЕМ ОПАСНЫ и ЧТО ВАЖНО ЗНАТЬ? | безопасность web приложений
Просмотров 5 тыс.
Файловые системы в Линуксе (2021)
18:00
Файловые системы в Линуксе (2021)
Просмотров 103 тыс.
CasaOs - управление домашним сервером
14:45
CasaOs - управление домашним сервером
Просмотров 7 тыс.
КАК ИЗБЕЖАТЬ ВЗЛОМА И УТЕРИ ДАННЫХ? | 5 простых способов улучшить вашу КИБЕРБЕЗОПАСНОСТЬ
7:03
КАК ИЗБЕЖАТЬ ВЗЛОМА И УТЕРИ ДАННЫХ? | 5 простых способов улучшить вашу КИБЕРБЕЗОПАСНОСТЬ
Просмотров 6 тыс.
Прохождение Linux-машины средней сложности SANDWORM HackTheBox | КАК ПРОЙТИ SANDWORM.HTB
30:39
Прохождение Linux-машины средней сложности SANDWORM HackTheBox | КАК ПРОЙТИ SANDWORM.HTB
Просмотров 137 тыс.
👑 Шифруем файлы и пароли аки Царь с GPG и Pass!
26:53
👑 Шифруем файлы и пароли аки Царь с GPG и Pass!
Просмотров 70 тыс.
ПОЧЕМУ джунам нужно знать ТАК МНОГО и что вообще нужно знать?
1:00:31
ПОЧЕМУ джунам нужно знать ТАК МНОГО и что вообще нужно знать?
Просмотров 158 тыс.
Эта УЯЗВИМОСТЬ есть ВЕЗДЕ! || XSS на примерах
13:46
Эта УЯЗВИМОСТЬ есть ВЕЗДЕ! || XSS на примерах
Просмотров 41 тыс.
Какую операционную систему выбрать программисту? Linux, Windows или Mac OS
22:45
Какую операционную систему выбрать программисту? Linux, Windows или Mac OS
Просмотров 104 тыс.
Прохождение #Linux-машины INTENTIONS.HTB, сложного уровня | #HackTheBox | КАК ПРОЙТИ #INTENTIONS.HTB
38:33
Прохождение #Linux-машины INTENTIONS.HTB, сложного уровня | #HackTheBox | КАК ПРОЙТИ #INTENTIONS.HTB
Просмотров 33 тыс.
Каково это - ЖИТЬ БЕЗ ЯЗЫКА? #апвоут #реддит #апвоутистории
00:52
Каково это - ЖИТЬ БЕЗ ЯЗЫКА? #апвоут #реддит #апвоутистории
Просмотров 264 тыс.