नई विशेष मशीनें
अदागियो
कठिनाई: मध्यम
CVSS स्कोर: 9.8 (गंभीर)
रुचि क्षेत्र: जासूसी और सिस्टम
प्रौद्योगिकियाँ: केरबेरोस, एडीआईडीएनएस
भाषाएँ: पायथन और पावरशेल
स्तर: पेनेट्रेशन टेस्टिंग स्तर 2
कौशल: नेटवर्क शोध
अदागियो एक मध्यम कठिनाई वाली विंडोज मशीन है जो डोमेन कंट्रोलर मशीन पर डोमेन व्यवस्थापक पहुंच प्रदान करने वाली कुछ सामान्य एक्टिव डायरेक्ट्री गलतियों को दिखाती है। प्रारंभिक पहुँच एएसआरईपीरोस्टिंग द्वारा प्राप्त की जाती है, फिर पासवर्ड पुन: उपयोग करने से हम दूसरे उपयोगकर्ता के द्वारा लटकते हुए चल सकते हैं।
BloodHound द्वारा उजागर किए गए एक मार्ग का पालन करते हुए, हम एक उच्च स्तर के उपयोगकर्ता को प्राप्त कर सकते हैं जिसके पास डीसी कंप्यूटर ऑब्जेक्ट को जेनेरिक लेखन की अनुमति है, जो संसाधन आधारित सीमित निदेशन हमला कर सकता है। आम तौर पर हमला विधि ms-DS-MachineAccountQuota सेटिंग द्वारा रोका जाता है, इसलिए एक वैकल्पिक दृष्टिकोण का पालन करना होगा।
काउच
कठिनाई: आसान
CVSS स्कोर: 9.8 (गंभीर)
रुचि क्षेत्र: डेटाबेसेज
प्रौद्योगिकियाँ: अपैचे काउचडीबी
भाषाएं: पायथन
स्तर: पेनेट्रेशन टेस्टिंग स्तर 1
कौशल: सीवीई शोध
काउच एक आसान लिनक्स मशीन है जो अपैचे काउचडीबी संस्करण 3.2.1 में दूरस्थ कोड निष्पादन को प्रदर्शित करती है जिसमें CVE-2022-24706 का एक चिह्नित होता है। एक हमलावर अवैध तरीके से तर्कहीन उपयोगकर्ता द्वारा सुरक्षित डिफ़ॉल्ट स्थापना तक पहुँच सकता है और प्रशासक विशेषाधिकार प्राप्त कर सकता है।
व्यापार तार्किक मशीन (वल्यूटा)
कठिनाई: मध्यम
रुचि क्षेत्र: वेब और भुगतान द्वार
प्रौद्योगिकियाँ: फ्लास्क
भाषाएं: पायथन
स्तर: पेनेट्रेशन टेस्टिंग स्तर 1
कौशल: वेब निष्कर्षण
वल्यूटा एक म