Mein Weg zur IT Sicherheit
Zwischendurch muss man ja auch mal etwas anderes machen. Hack This Site ist eine CTF Seite, mit verschiedenen Schwierigkeitsgraden und Herausforderungen. Wir fangen ganz vorne mit den Basics an und arbeiten uns weiter vor.
Basic 1(the idiot test)
Rechtsklick mit der Maus irgendwo auf die Seite und „inspect“ auswählen. Hier finden wir ein Kommentar im html Code versteckt, der uns das Passwort verrät.
Lösung:
d5725200
https://tryhackme.com/room/sqlinjectionlm
Task 1 Brief
Frage 1:
What does SQL stand for?
Antwort 1:
Structured Query Language
Task 2 What is a Database?
Frage 1:
What is the acronym for the software that controls a database?
Antwort 1:
DBMS
https://tryhackme.com/room/oscommandinjection
Task 1 Introduction (What is Command Injection?)
Keine Fragen in diesem Task.
Task 2 Discovering Command Injection
Frage 1:
What variable stores the user’s input in the PHP code snippet in this task?
Antwort 1:
$title
Frage 2:
What HTTP method is used to retrieve data submitted by a user in the PHP code snippet?
Antwort 2:
GET
Frage 3:
If I wanted to execute the id command in the Python code snippet, what route would I need to visit?
Antwort 3:
/id
Wir hatten ja schon mit Cross-site Scripting zu tun, jetzt wird alles (hoffentlich) vertieft! Bei XSS handelt es sich um einen Injektions-Angriff auf Websiten, wobei schädlicher JavaScript Code verwendet wird.
Task 1 Room Brief
Frage 1:
What does XSS stand for?
Antwort 1:
Cross-site Scripting
SSRF, was uns wohl erwartet?!
Task 1 What is an SSRF?
Frage 1:
What does SSRF stand for?
Antwort 1:
Server-Side Request Forgery
Frage 2:
As opposed to a regular SSRF, what is the other type?
Antwort 2:
Blind
Habt ihr auch das Gefühl, dass es sehr schnell geht? Gerade noch den Pfad angefangen, jetzt schon bei File Inclusion!
Task 1 Introduction
Keine Fragen.
Task 2 Deploy the VM
Ebenfalls keine Fragen, wir starten nur die Machine.
WeiterlesenIDOR wir kommen!
Task 1 What is an IDOR?
Frage 1:
What does IDOR stand for?
Die Antwort erhalten wir aus der Erklärung.
Antwort 1:
Insecure Direct Object Reference
Mit Lichtgeschwindigkeit geht es an den Authentifizierungen vorbei *badum tss*
Task 1 Brief
Der Name sagt alles. Keine Fragen, keine Antworten.
Task 2 Username Enumeration
Frage 1:
What is the username starting with si*** ?
Wir benutzen wieder den vorgegebenen Befehl, passen ihn aber an unsere Verzeichnisse an:
ffuf -w /usr/share/seclists/Usernames/Names/names.txt -X POST -d "username=FUZZ&email=x&password=x&cpassword=x" -H "Content-Type: application/x-www-form-urlencoded" -u http://10.10.138.227/customers/signup -mr "username already exists"Keine Müdigkeit und gleich weiter mit Subdomain Enumeration!
Task 1 Brief
Frage 1:
What is a subdomain enumeration method beginning with B?
Antwort 1:
Brute Force
Wir wollen keine Zeit verlieren und machen gleich mit Content Discovery weiter!
Task 1 What Is Content Discovery?
Frage 1:
What is the Content Discovery method that begins with M?
Antwort 1:
Manually
© 2025 René und IT-Sec
Theme von Anders Norén — Hoch ↑