Devvortex یک ماشین با سطح دشواری Easy (آسان) در پلتفرم Hack The Box است که تجربهای واقعی از آزمون نفوذ علیه یک سایت مبتنی بر سیستم مدیریت محتوا (Joomla) را بهنمایش میگذارد.
این ماشین بر پایهٔ Linux ساخته شده و بهواسطهٔ وجود ضعفهای پیکربندی در Joomla و ابزارهای سیستمی، زنجیرهای از حملهی واقعی از شناسایی تا ارتقاء سطح دسترسی را شبیهسازی میکند.
ماشین در تاریخ 25 نوامبر 2023 منتشر شد و بعدها در 27 آوریل 2024 به حالت Retired درآمد.
شما در فرآیند حل این ماشین با مفاهیم و مهارتهای زیر آشنا خواهید شد:
شناسایی سرویسها و enumeration اولیه
یافتن و درک آسیبپذیریهای افشای اطلاعات در Joomla و نتایج آن — دسترسی به اطلاعات پیکربندی/اعتبارنامهها.
استفاده از دسترسی مدیریتی وباپلیکیشن برای ایجاد نقطهٔ ورود به سرور
تحلیل دادههای دیتابیس و کشف هشهای رمز عبور، سپس کرک هشها برای دستیابی به اعتبارنامههای کاربری بعدی.
حرکت جانبی و ورود از طریق SSH با استفاده از اعتبارنامههای بازیابیشده.
ارتقاء سطح دسترسی به root با بهرهبرداری از یک مشکل داخلی
چکیدهٔ آموزشی:
Devvortex با طراحی سناریویی نزدیک به شرایط واقعی نشان میدهد که چگونه یک افشای اطلاعات ساده در یک CMS میتواند منجر به گرفتن دسترسی مدیریتی وب، سپس دسترسی به دیتابیس، و در نهایت به ارتقاء کامل سیستم تبدیل شود. این چالش فرصت مناسبی برای تمرین چرخهٔ حمله — از reconnaissance تا privilege escalation — و یادگیری اهمیت مدیریت صحیح پیکربندیها و کنترل دسترسیهاست.
این چالش توسط جناب آقای شایان مشعوف طراحی شده است.
درصد پیشرفت حل چالش
0%
