چالش Artificial یک ماشین لینوکسی الهامگرفته از Hack The Box است که روی سوءاستفاده از یک وباپلیکیشن مدیریت مدلهای هوش مصنوعی متمرکز شده است.
در این سناریو با سرویسی روبهرو هستید که برای اجرای مدلهای TensorFlow در یک محیط کانتینری طراحی شده و در نگاه اول کاملاً معمولی به نظر میرسد، اما در پسِ این ظاهر ساده، ضعفهای مهمی در مدیریت فایلهای مدل، نگهداری دادهها و پیکربندی پشتیبانگیری وجود دارد که در نهایت میتواند به دسترسی کامل سیستم منجر شود.
این چالش برای افرادی طراحی شده که میخواهند فراتر از «وب شل ساده» رفته و مسیر کامل نفوذ از لایهٔ وب تا دسترسی روت را در یک سناریوی نزدیک به محیط واقعی تجربه کنند؛ جایی که دادههای درون برنامه، هشهای ذخیرهشده، و تنظیمات اشتباه سرویسهای بکاپ با هم زنجیره میشوند تا راه را برای Privilege Escalation باز کنند.
شما در فرآیند حل این ماشین با مفاهیم و مهارتهای زیر آشنا خواهید شد:
🔸Recon و Enumeration روی سرویسهای وب و زیرساخت
🔸تحلیل یک وباپلیکیشن مرتبط با AI و بررسی قابلیتهای ثبتنام، ورود و آپلود مدل
🔸بررسی Dockerfile و محیط کانتینری برای کشف نقاط حمله
🔸بهرهبرداری از قابلیت آپلود مدل جهت رسیدن به Remote Code Execution
🔸کار با پایگاهداده sqlite3 و استخراج اطلاعات کاربران و هشها
🔸کرک کردن هشها با استفاده از ابزارهایی مانند Hashcat
🔸استفاده از اطلاعات بهدستآمده برای دسترسی SSH به سیستم
🔸تحلیل فایلهای بکاپ و سوءاستفاده از تنظیمات اشتباه ابزارهای پشتیبانگیری برای ارتقای دسترسی تا سطح Root
چکیدهٔ آموزشی:
چالش Artificial به شما نشان میدهد که چگونه مجموعهای از «اشتباهات کوچک» – از افشای فایلهای حساس و نگهداری نادرست هشها گرفته تا پیکربندی ضعیف سیستم بکاپ – میتواند در کنار هم به یک نفوذ کامل تبدیل شود. در طول حل چالش یاد میگیرید که فقط به دنبال یک اکسپلویت واحد نباشید، بلکه زنجیرهای از سرنخها را کنار هم بگذارید: ابتدا دسترسی اولیه را از طریق وباپلیکیشن و محیط کانتینری به دست میآورید، سپس با تحلیل پایگاهداده و کرک هشها به سیستم اصلی وارد میشوید و در نهایت با سوءاستفاده از فرآیندهای پشتیبانگیری، دسترسی خود را تا سطح مدیریت سیستم ارتقا میدهید.
این چالش توسط جناب آقای شایان مشعوف طراحی شده است.
درصد پیشرفت حل چالش
0%
