Yashechka16 фев в 17:31

HackTheBox. Прохождение FluxCapacitor. Уровень — Средний

Средний

3 мин

9.5K

CTF * Информационная безопасность *

Туториал

+11

Комментарии 5

Armann 17 фев в 22:04

Спасибо за статью.

Юзерагент Катзилла - это просто рандомное слово или что то значит?

И почему стали пробовать команду в opt - просто наобум, или есть признаки что там может приниматься команда?

Yashechka 18 фев в 03:32

Сканер показал нам, что есть 403 ошибка при обращении к opt. Значит эта сущность существует. Осталось только передать ему правильное значение из разрешенных символов.

Yashechka 18 фев в 03:30

Привет, Armann. Спасибо за комментарий. Так как мы имеем дело с WAF, то где-то идет проверка, в том числе и на юзер-агента. Я не указал в статье, но все правила можно посмотреть здесь - /usr/local/openresty/nginx/conf/nginx.conf. К сожалению, я не могу скопировать правила и вставить сюда, система не дает, но если их посмотреть, там будет проверка на Мозиллу, а чтобы её обойти я просто использовал КатЗиллу.

thereisnocolor 18 фев в 03:50

Хорошая статья, но цикл по IDA лучше)

Yashechka 18 фев в 06:59

Спасибо, буду стараться добить до конца по видео-урокам.

Зарегистрируйтесь на Хабре, чтобы оставить комментарий