सीधे मुख्य कॉन्टेंट पर जाएं
सभी कलेक्शनHTB Business - व्यापार प्लेटफ़ॉर्मउद्यम प्रस्ताव
जनवरी अपडेट - नए एक्सक्लूसिव और प्रशिक्षण मशीनों के साथ
जनवरी अपडेट - नए एक्सक्लूसिव और प्रशिक्षण मशीनों के साथ
Ryan Gordon avatar
Ryan Gordon द्वारा लिखा गया
एक साल पहले अपडेट किया गया

नई विशेष मशीनें

अदागियो

  • कठिनाई: मध्यम

  • CVSS स्कोर: 9.8 (गंभीर)

  • रुचि क्षेत्र: जासूसी और सिस्टम

  • प्रौद्योगिकियाँ: केरबेरोस, एडीआईडीएनएस

  • भाषाएँ: पायथन और पावरशेल

  • स्तर: पेनेट्रेशन टेस्टिंग स्तर 2

  • कौशल: नेटवर्क शोध

अदागियो एक मध्यम कठिनाई वाली विंडोज मशीन है जो डोमेन कंट्रोलर मशीन पर डोमेन व्यवस्थापक पहुंच प्रदान करने वाली कुछ सामान्य एक्टिव डायरेक्ट्री गलतियों को दिखाती है। प्रारंभिक पहुँच एएसआरईपीरोस्टिंग द्वारा प्राप्त की जाती है, फिर पासवर्ड पुन: उपयोग करने से हम दूसरे उपयोगकर्ता के द्वारा लटकते हुए चल सकते हैं।

BloodHound द्वारा उजागर किए गए एक मार्ग का पालन करते हुए, हम एक उच्च स्तर के उपयोगकर्ता को प्राप्त कर सकते हैं जिसके पास डीसी कंप्यूटर ऑब्जेक्ट को जेनेरिक लेखन की अनुमति है, जो संसाधन आधारित सीमित निदेशन हमला कर सकता है। आम तौर पर हमला विधि ms-DS-MachineAccountQuota सेटिंग द्वारा रोका जाता है, इसलिए एक वैकल्पिक दृष्टिकोण का पालन करना होगा।

काउच

  • कठिनाई: आसान

  • CVSS स्कोर: 9.8 (गंभीर)

  • रुचि क्षेत्र: डेटाबेसेज

  • प्रौद्योगिकियाँ: अपैचे काउचडीबी

  • भाषाएं: पायथन

  • स्तर: पेनेट्रेशन टेस्टिंग स्तर 1

  • कौशल: सीवीई शोध

काउच एक आसान लिनक्स मशीन है जो अपैचे काउचडीबी संस्करण 3.2.1 में दूरस्थ कोड निष्पादन को प्रदर्शित करती है जिसमें CVE-2022-24706 का एक चिह्नित होता है। एक हमलावर अवैध तरीके से तर्कहीन उपयोगकर्ता द्वारा सुरक्षित डिफ़ॉल्ट स्थापना तक पहुँच सकता है और प्रशासक विशेषाधिकार प्राप्त कर सकता है।

व्यापार तार्किक मशीन (वल्यूटा)

  • कठिनाई: मध्यम

  • रुचि क्षेत्र: वेब और भुगतान द्वार

  • प्रौद्योगिकियाँ: फ्लास्क

  • भाषाएं: पायथन

  • स्तर: पेनेट्रेशन टेस्टिंग स्तर 1

  • कौशल: वेब निष्कर्षण

वल्यूटा एक

क्या इससे आपके सवाल का जवाब मिला?