ΝΕΕΣ Αποκλειστικές Μηχανές
Adagio
Δυσκολία: Μέτρια
Βαθμολογία CVSS: 9.8 (Κρίσιμο)
Κατηγορίες ενδιαφέροντος: Αναγνώριση & Σύστημα
Τεχνολογίες: Kerberos, ADIDNS
Γλώσσες: Python & PowerShell
Επίπεδο: Προχωρημένο επίπεδο δοκιμών διείσδυσης
Δεξιότητες: Εκμετάλλευση δικτύου
Το Adagio είναι μία μέτρια δυσκολίας μηχανή των Windows που παρουσιάζει μερικές συνηθισμένες λανθασμένες ρυθμίσεις στο Active Directory που οδηγούν σε πρόσβαση του διαχειριστή του τομέα (Domain Administrator) σε ένα μηχάνημα Domain Controller. Η πρώτη πρόσβαση επιτυγχάνεται μέσω της επίθεσης ASREPRoasting, κατόπιν η επαναχρησιμοποίηση της κωδικής φράσης επιτρέπει την προώθηση προς άλλο χρήστη.
Ακολουθώντας ένα μονοπάτι που αποκαλύπτεται από το BloodHound, είναι δυνατό να αποκτηθεί πρόσβαση σε υψηλότερο δικαιούχο χρήστη που έχει GenericWrite πρόσβαση στο αντικείμενο υπολογιστή του DC, επιτρέποντας μία επίθεση Resource-Based Constrained Delegation. Η συνηθισμένη μέθοδος επίθεσης αποτρέπεται από τη ρύθμιση ms-DS-MachineAccountQuota, οπότε απαιτείται μία εναλλακτική προσέγγιση.
Couch
Δυσκολία: Εύκολη
Βαθμολογία CVSS: 9.8 (Κρίσιμο)
Κατηγορίες ενδιαφέροντος: Βάσεις δεδομένων
Τεχνολογίες: Apache CouchDB
Γλώσσες: Python
Επίπεδο: Αρχάριο επίπεδο δοκιμών διείσδυσης
Δεξιότητες: Εκμετάλλευση CVE
Το Couch είναι μια εύκολη μηχανή Linux που παρουσιάζει εκτέλεση κώδικα από μακριά στο Apache CouchDB έκδοσης 3.2.1 που έχει αναπτυχθεί σε ένα CVE με αριθμό CVE-2022-24706. Ένας επιτιθέμενος μπορεί να έχει πρόσβαση σε μία ακατάλληλα ασφαλισμένη προεπιλεγμένη εγκατάσταση χωρίς πιστοποίηση και να αποκτήσει δικαιώματα διαχειριστή.
Business Logic Machine (Νόμισμα)
Δυσκολία: Μέτρια
Κατηγορίες ενδιαφέροντος: Ιστοσελίδες & Πύλες πληρωμών
Τεχνολογίες: Flask
Γλώσσες: Python
Επίπεδο: Αρχάριο επίπεδο δοκιμών διείσδυσης
Δεξιότητες: Εκμετάλλευση ιστού
Το Νόμι