Pentest

[EN] [CTF] TAMU - Obituary

Write-up for challenge 'Obituary' (Network Pentest, 2 × 500 pts) from TAMU CTF 2020.

4 minutes de lecture

Hey, shoot me over your latest version of the code. I have a simple nc session up, just pass it over when you’re ready. You’re using vim, right? You should use it; it’ll change your life. I basically depend on it for everything these days!

Exploiter un ".git" accessible sur un site Web

Retour d'expérience sur l'exploitation d'un répertoire ".git" accessible à la racine d'un site Web : code source, mots de passe SQL, etc.

3 minutes de lecture

Récemment, je suis intervenu sur un serveur web qui s’était fait compromettre. J’ai donc cherché à savoir quelle avait été la porte d’entrée sur le serveur. C’était assez folklorique : chmod 777 sur le webroot, une flopée de SQLi, des webshell à la pelle, des configs Apache et MySQL très laxistes et surtout un répertoire .git avec du directory listing …