We all know that SQL injection (SQLi) is a thing. But it may surprise quite a few people that similar injection techniques are possible when the underlying database is a NoSQL database.
In this post, I’ll show a simple way of exploiting such a NoSQL injection in two ways.
Continue reading NoSQL injection in MongoDBHackthebox – or HTB – calls itself a “massive hacking playground” and that is exactly what it is – besides also being a great place to learn all about hacking and infosec. In short, they offer anyone the possibility of learning hacking skills without breaking any laws. To do that, HTB offers a wide range of virtual machines and even whole networks that anyone is allowed to attack/break into.
To proof that one has completed a challenge/machine, each of them contains one or more flags (machines contain a user and a root flag). Flags are just long, random strings of characters that HTB knows. To proof successful compromise of a machine or challenge, one needs to submit the corresponding flag.
They also offer competitive hacking games, CTF challenges and an interactive academy. There’s a lot to learn, so let’s get started!
Continue reading Intro to Hack the BoxEs ist Montag der 27. Juli 2020. Normalerweise fällt mir das Aufstehen an diesem letzten Juli-Montag jedes Jahres nicht schwer. Ganz im Gegenteil, selten freue ich mich so über den Klang meines Weckers! Denn der letzte Montag im Juli ist mein Wacken-Anreisetag. Alles wurde in den letzten Tagen und Wochen gepackt und vorbereitet, jetzt kann es losgehen – tja, nur nicht dieses Jahr, weil uns Corona einen Strich durch die Rechnung gemacht hat und Wacken dieses Jahr ausfällt. Schöne Scheiße!
Continue reading Wacken Open Air 2020After my FOREST writeup, I decided to switch to password protected PDF files, so I could publish my writeups before the boxes are retired.
This PDF is protected by the root flag, but later PDFs will be protected with the Administrator’s/root password hash.
Have fun!
After my FOREST writeup, I decided to switch to password protected PDF files, so I could publish my writeups before the boxes are retired.
This PDF is protected by the root flag, but later PDFs will be protected with the Administrator’s/root password hash.
Have fun!
Alright, FOREST has been retired, so I am allowed to do this Writeup on it.
Forest was my first “real” box ever, meaning that it was the first box I did not setup myself, knowing the vulnerability beforehand. And what can I say? It was one hell of a ride, even though the machine was labeled “easy”. But read for yourself!
Continue reading HTB FOREST WriteupIs being vegan protected by Article 9 GDPR? I was confronted with this question today and wanted to share my experience and my conclusion.
For German readers: This is related to Artikel 9 DSGVO.
Featured image by Fernando Arcos, found here.
Continue reading Vegan: Article 9 GDPR?Tagebuch des Steuermanns, genannt steps0x29a. Wir schreiben den 27. Tag des 10. Mondes im Jahre 2019.
Legenden sind das täglich Brot eines jeden Piraten, der etwas auf sich hält, Fremder! Und so sollte es dich nicht verwundern, dass auch ich die ein oder andere davon in den Schänken und Gefängnissen dieser flachen Erdenscheibe gehört habe. Es gab eine, die erzählte von einem unglaublichen Schatz, den aber noch nie ein Sterblicher zu Gesicht bekommen habe. Du weißt, dass dieser Steuermann natürlich versucht war, diesen unermesslichen Reichtum sein Eigen zu nennen, nicht wahr?
So begab es sich, dass ich mit den Captains in deren Kajüte saß und wir über vergangene Zeiten sprachen. Dabei glitt mein Blick über alte Karten und etwas fiel mir auf: sonderbare Zeichen waren dort vor aller Augen verborgen. Mir schlug das Herz bis zum Halse. Sollte dies…?
Continue reading Full Log: Pirates Booty Final
steps0x29a 