Прохождение

Рет қаралды 108,413

3 ай бұрын

Как решить машину DRIVE на HackTheBox?
Drive - это сложная(средняя) машина Linux, которая включает в себя сервис обмена файлами, подверженный уязвимости #IDOR (Insecure Direct Object Reference), через который обнаруживается простой текстовый пароль, приводящий к доступу по #SSH к системе. Далее обнаруживаются заархивированные резервные копии баз данных, которые открываются с использованием жёстко заданного пароля, обнаруженного в репозитории #Gitea. Хэши внутри резервных копий взламываются, что приводит к доступу к другому пользователю в системе, у которого есть доступ к исполняемому файлу, принадлежащему root, с установленным битом #SUID. Программа подвергается реверс инженерии, что раскрывает наличие #SQL инъекции в запросе к #SQLite3. Далее мы обходим фильтр параметра и через встроенную функцию #LOAD_EXTENSION, подключив динамическую библиотеку для вызова шелла суперпользователя, получаем финальный флаг.
------------------------------------------------------------------------------------------------------
Мои статьи и врайтапы: maddevs.io/blog/authors/mekan...
Заказать услуги: maddevs.io/cybersecurity/
Telegram чат: t.me/+ls1duJayGB44YTFi
Telegram канал: t.me/MrCyberSec_channel
Boosty.to: boosty.to/mrcybersec
X/Twitter: / _mrcybersec
HackTheBox: app.hackthebox.com/profile/70...
LinkedIn: / mekan-bairyev
#c #cli #assembly
#VulnerabilityAssessment #WebApplication #SourceCodeAnalysis #Cryptography #Programming #injections #software #exploitation #idor #RemoteCodeExecution #RCE #Misconfiguration #python #sql #ReverseEngineering

Пікірлер: 225

@xBodro 2 ай бұрын

После каждого успешного действия, мне кажется что мне в душу смотрит Дэвид Блейн 😂

@user-mq8tr6yd5z Ай бұрын

В рот мне ноги😂

@user-yl1no3br2j 28 күн бұрын

зауза

@jesse_clark 26 күн бұрын

+1 "Ты что сделал с моей машиной? В рот мне ноги! Ты зачем скукожил мою машину?!"

@user-yl1no3br2j 26 күн бұрын

@@jesse_clark "Не отвечай ему, а то он твою машину уменьшит, в ж... тебе засунет, и на прогрев поставит"

@kyloc5817 3 ай бұрын

Вы обьясняете самым понятным языком наверное во всей ру сфере IT, от видео не оторваться.

@user-ck7iz8js9m 3 ай бұрын

Лучшая рекомендация ютуба за все время Очень приятная речь, завораживающая подача материала. Подписался уже со 2й минуты видео. Продолжай в том же духе!

@evgeniibubolev9881 3 ай бұрын

Как же я рад уже даже тому, что понимаю каждый проделанный шаг...

@RomanBog 3 ай бұрын

Очень интересно, как-будто смотрю какой-то увлекательный детектив, в конце надо добавлять: «Элементарно, Ватсон»

@user-wd8ui4ct6c 3 ай бұрын

Наконец-то кто-то из Ру комьюнити прохождение снимает, спасибо огромное !!! не бросайте это дело ! Прохождение как у ippsec, даже переменные в ghidra переименовывал как он, но всё равно, на родном языке смотреть интереснее

@keyn73x 3 ай бұрын

Я просто в восторге от Ваших видео и в тоже время очень негодую от того, что так мало просмотров на канале, пожалуйста продолжайте, Вас приятно и очень интересно смотреть, спасибо! :)

@kirtvik5123 3 ай бұрын

приятно смотреть на качественный контент с пояснением функций и аргументов к ним на простом языке

@themystery7379 3 ай бұрын

Очень интересно и легко смотрятся ваши видео, спасибо что объясняте понятным языком.

@kotiara001 3 ай бұрын

Невероятная подача материала - не оторваться! Спасибо Вам!

@user-kx6qt8yc9x 3 ай бұрын

Я как завороженный смотрю, очень интересная подача материала, продолжай, пожалуйста

@hzj4655 3 ай бұрын

Интересное видео, смотрится на одном дыхании. Приятно смотреть за работой профессионала.

@justfun-yg7uw 3 ай бұрын

Супер круто! Ничего не понятно, но не оторваться! Хочется поглощать за Вами каждый байт ❤ спасибо

@plastid4 3 ай бұрын

Прошлый ролик меня привёл на канал, посмотрел - круто - подписался. Сам понял почем не давно по рукам били, а теперь и своим джунам/мидлам смогу наглядно показать где лично они могут допустить проколы :) Спасибо за ролики!

@glebbulygin675 3 ай бұрын

Спасибо большое, подача видео невероятная! Очень приятно и интересно смотреть!

@zeus2521 3 ай бұрын

Только недавно начал изучать пентестинг, изучил основы, до этого еще знал Java. В видео все абсолютно понятно объяснено, просто ноль вопросов. Спасибо за годный контент!

@CaiN805 3 ай бұрын

Я невероятно рад, что канал, по такой узкой нише так хорошо взлетел! Ты большой молодец❤

@chebureque 3 ай бұрын

круть! Такие видео в миллион раз лучше чем корпоративные сайберсек тренинги с кучей базвордов

@korseg1990 3 ай бұрын

Очень интересное видео! Невероятная подача материала!

@Reader-yp9jy 3 ай бұрын

Лайкаю. Посмотрю позже! Автору благодарность за труд!

@apschni 3 ай бұрын

Из того что бросается в глаза - вебка в виде кружка намного легче для восприятия, чем гринскрин, который дает артефакты так еще и красная рамка (личное мнение, многие могут не согласиться) В остальном на высшем уровне!

@Artemon-yl5ze 3 ай бұрын

Частично согласен, можно без кружка, но красный кажется лишним... но только в начале видео, потом так интересно, втягиваешься в процесс. Но без вэбки думаю было бы не так захватывающе. У ведущего какое то невероятное обаяние

@s1riys343 3 ай бұрын

Мне, как человеку, который имеет косвенное отношение к информационной безопасности (планирую начать работать бэкэнд разработчиком курсе на 2-3), было невероятно интересно наблюдать за тем, как системы, подобные тем, что я буду создавать, ломаются за считаные часы. Спасибо за контент.

@jozz3235 Ай бұрын

Системы ломаются по большей части из-за ошибок пользователей, все пароли оставленные в открытом виде рано или поздно утекут). Да и любой норм админ закрывает ssh на внешнем порту либо делает доступ по сертификату.

@gaituroman Ай бұрын

Спасибо за видео. Очень интересно смотреть. Каждый шаг и действия все больше и больше интригует. По больше видео и будет здорво! Продолжайте в том же духе!

@foxypony7453 3 ай бұрын

Определенно лучший канал по теме.

@damager8290 2 ай бұрын

Очень круто! Просмотрел на одном дыхании, спасибо!

@TomYAM645 3 ай бұрын

Спасибо за видео! Не прекращай снимать, классная подача

@KuruApni 3 ай бұрын

Спасибо! Ты меня (разработчика со стажем в 10 лет) мотивировал прикупить подержанный t480 и проходить на отдельной машине htb.

@noidea91 3 ай бұрын

Мега крутой контент. Огромная благодарность автору

@LongGlovv 3 ай бұрын

Автор, очень интересно, продолжай дальше!

@BudniyDen 3 ай бұрын

Оч интересно, id перебирал в начале времён, из любопытства, сейчас увлечение стало хорошей, любимой работой)

@339041 3 ай бұрын

Отличное видео и контент, спасибо! Классная подача, подписка, ждем продолжения!

@jumbo8260 Ай бұрын

Обычно не пишу комментарии, но это видео просто бомба, процветания каналу

@yuGesreveR 3 ай бұрын

Великолепное видео! Буду с нетерпением ждать новых! В кой-то веки KZbin подкинул полезный канал в рекомендации

@Un_Kazan 3 ай бұрын

Огонь, Так держать. Очень интересно!!!!

@user-cu9sh6fz1k 3 ай бұрын

большое спасибо за ваш контент)

@mrsairax 3 ай бұрын

топчик, посмотрел 2 раза! интересное расследование. хак с БД вообще отвал головы))

@c1ty-hunt3r 3 ай бұрын

Одно удовольствие смотреть, спасибо за такие познавательные видео. Вдохновили пройти доступные learning path на portswigger, чем занимался всю прошлую неделю. Жаль что community верстия Burp Suite очень сильно тротлит когда дело касается перебора, но тут есть и свой плюс - это заставило меня написать свой python скрипт, красиво подбирающий пароли админки как на девайсе Джона Коннора в Т2.

@MrCyberSec 3 ай бұрын

Потрясающе, рад слышать!

@user-od2fz2tl7d 2 ай бұрын

Смотрю как детектив, не оторваться, наконец ютуб посоветовал что-то дельное

@ironbondar 3 ай бұрын

единственный канал, на котором я нажал колокольчик)

@zzontt 2 ай бұрын

Очень здорово, смотрю как детектив, и записываю себе всякие фишечки из ваших видео, я не безапсник, а обычный начинающий сисадмин, но многое что видел в ваших видео смело можно брать на вооружение в повседневную работу.

@tivdeveloper7388 14 күн бұрын

Блин я iOS разработчик, первый раз наткнулся на твой видос, прикольно все же! Всегда была интересна эта область но никогда ее не косался! Хорошо делаешь, спасибо за контент!

@ZNothignszzzzzzzz 2 ай бұрын

Спасибо за видео! действительно интересно и приятно смотреть

@vikvik7117 3 ай бұрын

Спасибо за ролик, подписался. Крутой у вас канал!

@comptester3653 Ай бұрын

Я ни хрена не понимаю, но как же захватывает!! Автор красавчик!!

@emberenjoyer 3 ай бұрын

спасибо за интересное прохождение!

@Elia__M Ай бұрын

Как фильм про хакеров посмотрел) очень круто, комментарий в поддержку, подписка

@d3m0n_404 3 ай бұрын

Понятно и интересно, очень круто

@thcmdmalsd 11 күн бұрын

Круто! Очень хорошее видео, подписался

@vitalyzahharov1681 3 ай бұрын

Никогда не пишу комментарии, но тут не удержался, спасибо за контент! Смотришь как кино, интересно наблюдать как это делается по ту сторону баррикад. ps. сам админ)

@NoName-ry8dj 2 ай бұрын

очень интересное видео, отличная подача. спасибо!

@aunovichkov 23 күн бұрын

Дэвид блэйн, это ты? А вообще видео топ. Правда мало что ясно простому юзеру, но очень интересно

@muhupn.b.1274 18 күн бұрын

очень мало понимаю в программировании, но капец как интересно

@PavelNebo Ай бұрын

Круть, первый раз вижу такое, очень интересно)

@Gastown05 3 ай бұрын

Видос классный, пообедал душевно

@ruslanustiuhov5510 3 ай бұрын

очень приятно смотреть.

@kurban1111 3 ай бұрын

Мне нравится что ты делаешь. Ты учишь правильно думать в первую очередь, а ситуации и подходы можно подбирать в зависимости от случая. Интересней было бы смотреть если бы ты использовал более простые инструменты в тех сценариях где это возможно. И побольше внимания уделяй ходу мысли не пропускай это в видео (я имею ввиду рассуждения).

@MrCyberSec 3 ай бұрын

Спасибо! Учту:)

@pettymanny6487 2 ай бұрын

Вот это даа! даже не подозревал что так можно сделать!

@evgeniibubolev9881 3 ай бұрын

Спасибо большое, было очень интересно

@gfferre8494 2 ай бұрын

автор продолжай, очень годный контент делаешь

@witaminkabargin8764 2 ай бұрын

Ого, прохождение хтб на русском, респект, ждём ещё!

@nitaki6432 3 ай бұрын

Спасибо большое за видео❤

@hate36 Ай бұрын

Где ты был раньше? Почему реки не показывали тебя?)) круто, есть кого посмотреть)

@anri_khv 3 ай бұрын

Подача огонь, смотреть очень интересно, никакой серьял не даёт такого внимания респект🫵, подписался👍

@user-ty1pp2op2d 2 ай бұрын

Рекомендации ютуба спасают день

@garivasiukov1897 3 ай бұрын

видео огонь, очень интересно все рассказываешь и показываешь. Но есть одна просьба можно микро погромче сделать, а то если шумно на макс громкости не слышно голос

@user-fy4id4oh1c 2 ай бұрын

David Blane, ты супер:)

@user-iq6ql3bn6s 3 ай бұрын

очень обидно что такие знания набирают так мало просмотров и лайков

@jacklameable 3 ай бұрын

очень круто! Спасибо

@user-gn7fq3lu8q 3 ай бұрын

ахахахахх) выражение лица на 6.32 , я прям 4 раза этот момент прогнал 😄

@Leha__777 2 ай бұрын

Я такое вообще не способен пройти сейчас, но интересно очень! В то же время простые машины кажутся слишком простыми. Какой большой между ними разрыв.

@user-ul7nw6cq5k 2 ай бұрын

Хочется смотреть и смотреть

@shestakovy_v_italii 3 ай бұрын

интересно, спасибо

@jesse_clark 26 күн бұрын

Мое почтение - очень интересно :)

@artchudinov 3 ай бұрын

Подача класс!

@laBenjamin 18 күн бұрын

Понятно чего такое хорошее видео, на заставке ведь Гений Тони Старк

@nullnull295 3 ай бұрын

с экстеншеном круто все решил, я бы уже на библиотеке запнулся, не догадался бы, что из неё можно стартануть баш

@Black_Droid 3 ай бұрын

Мужик, я ни хера не понял, что ты сказал мне! Но ты мне близок! Ты заговорил - и достучался до сердца!©

@upyrable 2 ай бұрын

логин в систему с mood "David Blaine" :)))👍

@Rayden433 2 ай бұрын

Ну ты жесткий, мистер сайберсек, прям топ

@cvechcd 2 ай бұрын

Круто, в любом случае самый большой провал в машине - обычным текстом выложенный логин пароль на общедоступном ресурсе 😂

@MrCyberSec 2 ай бұрын

Каждый комментатор-критик под моими видео считает своим долгом раскритикововать машину от HTB. Друзья, это машина спроектирована таким образом, чтобы продемонстрировать этот сценарий. Это в целом, в реальном мире, конечно провал, но на данной машине - задумка призванная показать, что так может быть.

@user-hb4qc6ug1f 2 ай бұрын

Thank you very much!

@nekit155rybin7 3 ай бұрын

Топ, делай еще!

@95_Ends 2 ай бұрын

Спасибо!

@user-gx8xu1dm3i Ай бұрын

Ничего не понял, но посмотрел до конца не отрываясь

@gihaar Ай бұрын

Ничего не понятно, но просмотрел на одном дыхании, как фильм про кулхацкеров

@maximgogitidze3348 3 ай бұрын

Очень круто, однако прошлый вид вебки был поприятнее. А в остальном все отлично

@999rey 3 ай бұрын

Класс!

@user-bm3wn3kn3v 3 ай бұрын

однозначно лайк!!!

@user-bk8dn2qj9g 3 ай бұрын

Топовый контент. Только сделай, как раньше - кружок в вебке, а то это прям глаза режет. Хотя судя по взгляду, мб ты сидишь в непривычной для нас обстановке -> именно поэтому решил фон не ставить

@MrCyberSec 3 ай бұрын

Спасибо! Но кружочек уже не вернется, а вот цвет немного подкорректирую:))

@user-tf1pg2lo5w 3 ай бұрын

Первый коммент наверно на ютубе. Спасибо за контент, подписался

@MrCyberSec 3 ай бұрын

Подобные коментарии вдохновляют:) Спасибо!

@eliasantoniadis8556 3 ай бұрын

😎😎😎

@vladk7631 2 ай бұрын

офигенноооооооо

@lolkek.supergut 3 ай бұрын

Спасибо за видео. Какая у вас клавиатура?

@MrCyberSec 3 ай бұрын

Keychrone k8, brown switches

@Keriokutori 3 ай бұрын

Оказывается есть вещи поинтереснее программирования))) интересно сколько лет у меня уйдет, чтобы хакать даже простые машины?)

@ForYou-km2sn 22 күн бұрын

Ничего не понятно, но очень интересно!

@gannaganovika9114 3 ай бұрын

Коммент для продвижения)

@mefodiybatareykin 2 ай бұрын

На заставке явно Дэвид Блейн. Я прям вижу в его глазах фразу "Ага, вот эти ребята!", озвученную Андреем Бочаровым!

@hopeestheim4253 Ай бұрын

В рот мне ноги! 😂

@xalifath 11 күн бұрын

Круто, скажите где этому учат, или нужно начать изучать команды Линукс.

@DzintarsDev 3 ай бұрын

Oхуенно! Ochenj interesno smotretj s tochki zrenjie razrabotki raznih sistem. Sozdojotsa vpechetlenie, shto mainstream razrabotchikam prosto netu variantov zashititsa ot vseh uvjazvimostei. Ne brosai eto delo. U Tebja talant podachi materiala! Video horosho smontirovan. Zvuk otlichnij. Svet. Legko uderzhivaesh zritelja. Prjamo kak detektiv. :)

@MrCyberSec 3 ай бұрын

Спасибо:)