Este writeup refleja la forma de vulnerar la seguridad en las primeras versiones de Magento para acceder al servidor web y escalar a privilegios de administrador. El ataque inicial consiste en inyección automatizada mediante script para obtener un usuario web con privilegios de administrador. Y el ataque principal se conoce como Froghopper Attack, básicamente un RCE facilitado por un LFI.
La máquina está ofrecida en la versión VIP de HackTheBox y se utilizó originalmente para promocionar el merchandising de la plataforma, por supuesto en una tienda con mayor seguridad.
HackTheBox - SwagShop
Logro:
[-=_Link_=-]
Writeup (hacker version, dark mode):
[-=_Link_=-]
Comments
Post a Comment