1. Ayyıldız Tim forumu Hariç Hiç Bir şekilde Rütbeli Oldugunu İddaa edenlere inanmayınız..⠀ Ayyıldız Tim Adına Sizden Bilgi Belge TC Kimlik Vb Evrak İsteyenlere Asla Bilgilerinizi Vermeyiniz.

Hackthebox - Sanitize Challange

'CTF(Capture The flag)' forumunda XINERVA tarafından 17 Temmuz 2021 tarihinde açılan konu

  1. XINERVA Atıldı

    • Guest
    Katılım:
    15 Eylül 2020
    Mesaj:
    306
    Alınan Beğeniler:
    602

    Özel Mesaj
    Öncelikle Selamün Aleyküm.
    Bugün sizlere Hackthebox ta yer alan "sanitize" challange ını nasıl çözeceğimizi göstereceğim.
    not: retired machine.

    Öncelikle Makineyi başlatalım.
    daha sonra IP adresini kopyaladıktan sonra websitesine geçelim.

    [​IMG]

    [​IMG]

    Sayfanın title kısmında SQLi yazıyor. büyük ihtimal sql injection yapacağız.

    daha sonra sayfanın source code unu inceliyorum.

    [​IMG]

    kodun en altında '<!-- /debug -->' adında bir yorum satırı var.
    öyle bir dizin yolu varmı diye kontrol ediyorum.

    [​IMG]

    gördüğünüz gibi burada python kodu var index için yazılmış bir kod.
    kod db den verileri çekip girdiğimiz kullanıcı adı ve şifre ile kontrol ediyor.

    aşşağı tarafa indiğimde şöyle bir kod görüyorum.

    [​IMG]

    ve yine ana sayfaya dönüp "admin - admin" olarak giriş yapmayı deniyorum.

    [​IMG]

    giriş yapamadık ama bize sayfanın altında sql query verdi. buradan yola çıkarak injection denyebiliriz. ve önceki python kodunda da görebileceğimiz üzere hiç bir önlem yoktu sql injection için.

    daha sonra
    Username: admin' or 1=1 -- -
    passwd: admin

    olarak sızmayı deniyorum.

    [​IMG]

    işlemimizi başarıyla gerçekleştirdik.
    Ve bize flag i verdi.

    okuduğunuz için teşekkürler.
    Bir yanlışım varsa özür dilerim yorumlarda sorularınızı sorabilirsiniz
    Allah'a Emanet olun...

     
  2. -Atabey- Guest

    • Guest
    Katılım:
    31 Mart 2021
    Mesaj:
    66
    Alınan Beğeniler:
    307

    Özel Mesaj
    ellerine sağlık :);)
     
    Dark-Kripton, ibrahimenter ve XINERVA bunu beğendi.
  3. Ashabil Guest

    • Guest
    Katılım:
    16 Temmuz 2021
    Mesaj:
    39
    Alınan Beğeniler:
    43

    Özel Mesaj
    ellerine sağlık devrem
     
    Dark-Kripton, ibrahimenter ve XINERVA bunu beğendi.
  4. XINERVA Atıldı

    • Guest
    Katılım:
    15 Eylül 2020
    Mesaj:
    306
    Alınan Beğeniler:
    602

    Özel Mesaj
    :):);)
     
    Dark-Kripton, ibrahimenter ve Ashabil bunu beğendi.
  5. XINERVA Atıldı

    • Guest
    Katılım:
    15 Eylül 2020
    Mesaj:
    306
    Alınan Beğeniler:
    602

    Özel Mesaj
    Berkyaruk komutanım, CTF konularımızın CTF alanına taşınmasını arz ederim. eğer yazılarım uygun değilse uygun hale getirmek ten memnuniyet duyarım.
     
    Dark-Kripton ve ibrahimenter bunu beğendi.
  6. Berkyaruk BİNBAŞI

    Katılım:
    31 Temmuz 2017
    Mesaj:
    415
    Alınan Beğeniler:
    2,022

    Özel Mesaj
    Konu taşındı kolay gelsin
     

Bu Sayfayı Paylaş