چالش Echo

در این چالش با سیستمی سروکار داریم که برای ارتباطات داخلی یک مجموعه طراحی شده و تنها سرویس در دسترس، یک وب‌سرور است. 

درگاه وب در ظاهر تنها یک فرم لاگین ساده ارائه می‌دهد، اما با کمی دقت مشخص می‌شود نقطه‌ی ورودی اصلی دقیقاً همین بخش است. 

تحلیل ترافیک، مشاهده‌ درخواست‌های احراز هویت و نحوه پاسخ سامانه، مسیر شناسایی ضعف‌ها را هموار می‌کند و نشان می‌دهد که سیاست‌های امنیتی سمت سرور چندان سخت‌گیرانه پیاده‌سازی نشده‌اند.

جزئیات در این چالش بسیار حائز اهمیت است؛ پس به جزئیات توجه نمایید. استفاده‌ی هوشمندانه از همین سرنخ‌ها در نهایت منجر به کسب دسترسی شل روی ماشین مقصد می‌شود.

پس از آن، با بررسی تنظیمات و مجوزها، مشخص می‌شود یکی از ابزارهای سیستمی با سطح دسترسی بالاتر قابل استفاده است؛ ابزاری که در صورت پیکربندی اشتباه، می‌تواند به‌راحتی به سکوی پرتاب برای دستیابی به سطح دسترسی کامل سیستم تبدیل شود. 

این چالش توسط PingQueen طراحی شده است.