Some hacking code
[plain][/plain]
I write the solution of cmd challenge to learn. 😉 i hope you will enjoy it. if you love this please feedback and share to your friends.
Question – hello_world/
Ans echo “hello world”
Question – current_working_directory/
Ans
pwd
Question – list_files/
Ans
ls
Question – print_file_contents/
Ans
cat access.log
Question – last_lines/
Ans
tail -n 5 access.log
I think the main of the problem of virtualbox install is kernel version. default source list can’t solve this problem. so we need to change the source list.
Ok. Now you need to edit the sources.lst. You can use any editor to edit and add to the following list. you can use nano /etc/apt/sources.lst
|
1 2 |
deb http://http.kali.org/kali kali-rolling main contrib non-free deb http://mirror.nus.edu.sg/kali/kali kali-rolling main non-free contrib |
and save. Now you need to update
|
1 |
apt-get update |
Next install new header for kernel version for virtualbox
|
1 |
apt-get install linux-headers-$(uname -r) |
after installing the header you need to install virtualbox
|
1 |
apt-get install virtualbox |
and Upgrade it
|
1 |
apt-get upgrade |
That is! Thanks for reading..
Boot2Root VM ကို ဒီမွာ download ဆြဲလို႕ရပါတယ္။
လုပ္ရမွာကေတာ့ Web Application ကေန Root Access ရတဲ့ထိလုပ္ရမွာျဖစ္ပါတယ္။
ပထမဆံုးေတာ့ VM ရဲ႕ IP ကိုသိရဖို႕အတြက္ netdiscover နဲ႕ scan ဖတ္လိုက္ပါတယ္။
Vulnhub
Boot2root CTF အမ်ိဳးစားပဲျဖစ္ပါတယ္။ ဒီ VM ေလးကစိတ္၀င္စားဖို႕ေကာင္းတယ္ ျပီးေတာ့ စုစုေပါင္း flag ၁၁ ခုပါ၀င္ပါတယ္။ Flag တစ္ခုကိုရမွ ေနာက္တစ္ခုကိုဆက္လုပ္ႏိုင္မွာျဖစ္ျပီး Geopardy style မဟုတ္ပဲ wargame CTF ပံုစံေလးျဖစ္တာေၾကာင့္ အေတြ႕ၾကံဳရေအာင္ ေျဖၾကည့္တာပါ။ English လိုေရးထားတဲ့ writeup ေတြလဲ Vulnhub မွာတင္ထားပါတယ္။ က်ေနာ္နားလည္သလိုေရးထားတာေတြက ဖတ္ရတာအဆင္မေျပဘူးဆို သြားဖတ္လို႕ရတာေပါ့။
VM ရဲ႕ပံုစံက DHCP auto assign ျဖစ္တာေၾကာင့္ က်ေနာ္တို႕ ထံုးစံအတိုင္း VM ရဲ႕ IP သိရေအာင္ netdiscover သံုးမယ္။
Lets think about Server Side Include first.
According to the vulnerability of Server Side Include. We can inject our malicious payloads to write into file that hosted at server side.
For Example :
$file = ‘server_file.php’;
For this example code, our injected payload will save in server_file.php . We can see that file is PHP file. So we can inject php code easily.
JavaScript ကိုအသံုးျပဳျပီးေတာ့ရိုးရွင္းတဲ့ calculator ေလးတစ္ခုကိုဖန္တီးၾကည့္ၾကမယ္။ က်ေနာ္လည္း ေလ့လာေနဆဲ ေလ့က်င့္ေနဆဲမလို႕ အမွားပါလည္း နားလည္ေပးၾကပါ။ ဒါကေတာ့ လံုး၀ရိုးရွင္းတဲ့ပံုစံေလးရေအာင္ ေရးထားတာျဖစ္ေတာ့ Calculator အေကာင္းစားၾကီးမဟုတ္သလို Bug ေတြလည္းရွိခ်င္ရွိေနႏိုင္မွာပါ။ ဒါေတြကို အဓိကမထားပဲက်ေနာ္တို႕ program ေလးကိုပဲေလ့လာရေအာင္ပါ။
Calculator ေလးတစ္ခုဖန္တီးမယ္ဆိုရင္ ပထမဆံုး လိုအပ္တာေတြအရင္ဆံုးစဥ္းစားၾကည့္ရေအာင္။ မရွိမျဖစ္လိုတဲ့အရာတစ္ခုကေတာ့ User Input လိုတာေပါ့။ ဒီေတာ့ကာ
|
1 |
<input type="text" name="calculator" size="15"> |
ဒါေလးကေတာ့ alert(“XSS”) ကိုခြင့္မျပဳတဲ့အခ်ိန္မွာသံုးဖို႕နည္းေလးပါ
သေဘာက်လို႕ စမ္းျပီးျပန္တင္ေပးထားတာပါ။ ဖန္တီးရတာလည္းသိပ္မခက္ေတာ့အဆင္ေျပမယ္ထင္ပါတယ္။
ဒါေပမယ့္ တစ္ခုေတာ့ ရွိတယ္ image upload form ရွိမွေတာ့အဆင္ေျပမယ္။ ဒီ GIF က host တစ္ခုတည္းမွာရွိေနဖို႕ေတာ့လိုပါတယ္။
ဒီ Code ေလးကို .gif extension နဲ႕ save လိုက္ရင္ရပါျပီ။
ကိုယ့္ဖာသာျပန္စမ္းခ်င္တယ္ဆိုရင္ေတာ့ localhost မွာ directory တူတူထားျပီးစမ္းၾကည့္ေပါ့။