RUVIDEO
Поделитесь видео 🙏

HackTheBox - Pollution

00:00 - Introduction
01:03 - Start of nmap
02:00 - Checking out the site, discovering an email (collect.htb) and setting up gobuster
06:00 - Discovering forum.collect.htb which is running MyBB, someone uploaded a Burp history file which contains API Information
09:30 - Manually examining the BurpSuite Backup File, and discovering it contains full HTTP Requests
12:12 - Sending a POST Request to /set/role/admin with the secret token
12:50 - The Admin Page has a separate registration forum, which sends an XML Request. Trying XXE and discovering Blind XXE
19:30 - Using my Blind XXE Script to make exfiltrating files quicker
23:20 - Trying to extract the Apache Configuration, getting the developers.collect.htb.conf file and then getting/cracking the htpasswd file
25:50 - Logging into developers.collect.htb, cannot login, going back to the Blind XXE getting source code and finding Redis Creds
28:50 - Enumerating Redis, seeing PHP Sessions, and changing our cookie to say we are an admin
36:50 - Using the PHP Filter Chain to get code execution on this include() which leads to a shell
44:20 - Looking at listening ports, seeing a few things on localhost. PHP FPM is listening on 9000, injecting code with fcgi.py into that and getting shell as Victor
52:45 - Grabbing the Pollution_API Source Code (listening on port 3000), then using Snyk to look for vulnerabilities
55:30 - Seeing where Lodash is used and talking about Prototype Pollution
59:30 - Logging into the API
1:02:00 - Our user is not an admin, logging into the MySQL Database and changing our role to admin
1:05:00 - Testing our ability to send messages
1:06:09 - Using Javscript Prototype pollution to set SHELL to a local file we created, which the exec() call uses and getting root.
1:07:00 - Doing this exploit without the need to drop a file by setting SHELL to /proc/self/exe

Что делает видео по-настоящему запоминающимся? Наверное, та самая атмосфера, которая заставляет забыть о времени. Когда вы заходите на RUVIDEO, чтобы посмотреть онлайн «HackTheBox - Pollution», вы рассчитываете на нечто большее, чем просто загрузку плеера. И мы это понимаем. Контент такого уровня заслуживает того, чтобы его смотрели в HD 1080, без дрожания картинки и бесконечного буферизации.

Честно говоря, Rutube сегодня — это кладезь уникальных находок, которые часто теряются в общем шуме. Мы же вытаскиваем на поверхность самое интересное. Будь то динамичный экшн, глубокий разбор темы от любимого автора или просто уютное видео для настроения — всё это доступно здесь бесплатно и без лишних формальностей. Никаких «заполните анкету, чтобы продолжить». Только вы, ваш экран и качественный поток.

Если вас зацепило это видео, не забудьте взглянуть на похожие материалы в блоке справа. Мы откалибровали наши алгоритмы так, чтобы они подбирали контент не просто «по тегам», а по настроению и смыслу. Ведь в конечном итоге, онлайн-кинотеатр — это не склад файлов, а место, где каждый вечер можно найти свою историю. Приятного вам отдыха на RUVIDEO!

Видео взято из открытых источников Rutube. Если вы правообладатель, обратитесь к первоисточнику.