English
En este post se utiliza un reto del ASISCTF para explicar una manera de saltarse un filtro, implementado mediante la función preg_match, para ejecutar código PHP
Power belongs to the people who take it
Categoría: Tutoriales (Página 1 de 5)
Atacando JSON Web Token (JWT)
En este post veremos cómo una web que utiliza JWT de forma incorrecta, nos permite crear usuarios con datos arbitrarios. Nos apoyaremos en una reto del CTF TJCTF, concretamente el reto Moar Horse 4.
Seguir leyendo
Se explota un CSRF a través de un XSS. En este caso nos apoyamos en un reto del CTF TJCTF pero es aplicable en muchos ámbitos. Este tipo de ataques demuestran el peligro que tienen los XSS como ya vimos en el post de WordPress 5.1 CSRF + XSS + RCE – Poc donde se conseguía incluso RCE.
Frida es una herramienta de instrumentación dinámica y flexible. Esta potente aplicación puede inyectar instrucciones en procesos en ejecución a lo largo de múltiples plataformas: Android, iOS, Windows, Mac y QNX.
Las utilidades de esta herramienta son variadas, desde realizar pruebas sin alterar el código, modificar el flujo de ejecución de un programa o simplemente utilizarse para observar el estado de procesos dentro de una aplicación. Estas utilidades nosotros las veremos orientadas a la búsqueda de vulnerabilidades y como apoyo para otras tareas dentro del pentesting de aplicaciones móviles Android.
Seguir leyendo
En este post de exploiting vamos a enfrentarnos a un binario de linux con todas las protecciones activas. En dicho binario nos encontramos un format string y un buffer overflow, el primero nos servirá para ‘leakear’ las direcciones necesaria para bypassear las protecciones y el segundo nos servirá para tomar el control del proceso.
Seguir leyendo
Redes Sociales
© 2024 ironHackers
Tema por Anders Noren — Arriba ↑