My Expense (VulnHub)

-
Enlace directo al pdf de la resolución de la Máquina MyExpense en mi LinkedIn.

DESCRIPCIÓN

MyExpense es una aplicación web deliberadamente vulnerable que le permite entrenarse en la detección y explotación de diferentes vulnerabilidades web. A diferencia de una aplicación de "desafío" más tradicional (que le permite entrenar en una sola vulnerabilidad específica), MyExpense contiene un conjunto de vulnerabilidades que necesita explotar para lograr el escenario completo.

GUIÓN

Usted es "Samuel Lamotte" y acaba de ser despedido de su empresa "Furtura Business Informatique". Desafortunadamente, debido a su salida apresurada, no tuvo tiempo de validar su informe de gastos de su último viaje de negocios, que aún asciende a 750 € correspondientes a un vuelo de regreso a su último cliente.

Por temor a que su antiguo empleador no quiera reembolsarle este informe de gastos, decide piratear la aplicación interna llamada "MyExpense" para administrar los informes de gastos de los empleados.

Así que estás en tu coche, en el aparcamiento de la empresa y conectado a la red Wi-Fi interna (la llave aún no ha sido cambiada después de tu salida). La aplicación está protegida por autenticación de usuario/contraseña y espera que el administrador aún no haya modificado o eliminado su acceso.

Sus credenciales eran: samuel/fzghn4lw

Una vez realizado el desafío, la bandera se mostrará en la aplicación mientras se conecta con su cuenta (samuel).

Comentarios

Publicar un comentario

Entradas populares de este blog

¡Nos mudamos a YouTube! 🎥✨

-
Imagen
 Querida comunidad, Después de mucho tiempo compartiendo contenido aquí, he decidido dar un nuevo paso en mi camino digital. ¡Me mudo a YouTube ! 🚀 Ha sido un placer enorme escribir y compartir en este blog, pero ahora es el momento de enfocar toda mi energía en nuevos proyectos audiovisuales. Por supuesto, esto no es un adiós, sino un "¡nos vemos en otros canales!" 🎉. Si quieres seguir conectado conmigo y mi contenido, estaré activo en las siguientes plataformas: YouTube : youtube.com/@frib1t Instagram : instagram.com/frib1t LinkedIn : linkedin.com/in/ramón-frizat-81588a156 Para cualquier cosa, estaré encantado de seguir conectando con todos ustedes. ¡Nos vemos pronto! Con cariño, Ramón Frizat Akka Frib1t
Leer más

VULNERABILIDAD DÍA CERO SAMSUNG GALAXY S21

-
Imagen
VULNERABILIDAD DÍA CERO DE ESCALADA DE PRIVILEGIOS EN SMARTPHONES SAMSUNG GALAXY S21.  (NO HAY PARCHE DISPONIBLE) A través de The Zero Day Initiative (ZDI), se reportó el hallazgo de una vulnerabilidad crítica de escalada de privilegios locales que podría poner en riesgo millones de dispositivos Samsung Galaxy S21. Según este reporte, las fallas permiten a los atacantes de amenazas locales ejecutar código arbitrario en los modelos de smartphones afectados. Antes del ataque, los hackers maliciosos debe obtener la capacidad de ejecutar código con privilegios mínimos en el sistema comprometido. Al parecer, la falla reside dentro de Web Bridge WebView. WebView expone una interfaz de JavaScript que permite a los actores de amenazas iniciar aplicaciones arbitrarias; esta falla puede ser explotada junto con otras vulnerabilidades para ejecutar código arbitrario en el contexto del usuario actual. La falla fue reportada a los desarrolladores a finales de 2021 y...
Leer más

Estrenando mi Github

-
Imagen
  PassGen Es un sencillo generador de contraseñas alfanuméricas con caracteres especiales por un lado, y por el otro es capaz de "hashear" la clave que introduzcas. Está creado con Python y es muy sencillo de utilizar. Si desea usarlo en Linux solo tendrá que cambiar el comando "cls" por "clear" Link:   Frib1t/passGen Aquí tiene la sección con el  código
Leer más