「リアルなハッキングの流れ」（第7彈）について解説しました。
► 關連情報：お遊びはここまでシリーズ    • お遊びはここまでだ  
► 關連情報：Hack The Box https://www.hackthebox.com/

■ソースファイル露出とStruts2の脆弱性惡用で侵入！
今回の動畫では、公開されたソースファイルから設定ファイル經由で資格情報が露出し、さらに Struts2（6.3.0.1）に關するアップロード檢證の不備を惡用してシェル取得（RCE相當）、その後、sudo設定ミス（tcpdump）を利用してroot權限へ昇格する一連のリスクを解説しています。
①ソースファイルダウンロードからプログラムの詳細を取得
②Struts2のアップロード檢證不備を惡用
③資格情報でSSHログインが可能
④sudo設定ミス（tcpdump）から權限昇格

この脅威連鎖を理解し、認證情報管理・バージョン更新・アップロード防御・權限最小化などの對策に役立てましょう！

【ご注意】 本ハッキングは、許可された管理下にある假想環境で實施しています。
管理下にない環境で行った場合、法的措置を取られる可能性があります。
自衞のためにぜひお役立てください。

【流れ】
0:00 説明
0:23 ハッキング開始、ポートスキャン（サービス列擧）
1:20 HTTP(TCP/80)調査
3:21 ソースコードの内容確認
14:33 シェル獲得後の内部調査
16:12 SSHログイン
16:48 權限昇格
19:33 振り返り

お仕事依頼などはこちら。
✉️[email protected]

メンタースクール申し込みはこちら。
🏫https://cyber-attack.jp/school/

その他SNSはこちら。
💻TikTok   / hackerkaz  
⌨️ブログ http://cyber-attack.jp/
💻Twitter   / cysecu_kaz  
⌨️Instagram   / cysecu_kaz  
💻質問箱 https://mond.how/ja/cysecu_Kaz

#struts2 #脆弱性 #權限昇格 #tcpdump #ハッキング