xaker

HTB Editorial. Используем SSRF и баг в GitPython, чтобы захватить сервер

  • вторник, 22 октября 2024 г. в 00:00:10
https://xakep.ru/2024/10/21/htb-editorial/
Для подписчиков
Сегодня я покажу пример подделки запросов на стороне сервера (SSRF). Мы получим доступ к внутрянке сайта и извлечем критически важные данные, затем найдем данные технической учетной записи и повысим привилегии в Linux через уязвимость в библиотеке GitPython.