Hack The Box - OnlyForYou
· ✍️ sckull
python
flask
directory traversal
command injection
neo4j
neo4j cypher injection
reverse-proxy
chisel
pip3
python-package
gogs
En OnlyForYou encontramos una vulnerabilidad de Directory Traversal que nos permitio obtener el codigo fuente de la aplicacion web por donde logramos acceder tras descubrir una vulnerabilidad de Command Injection. Logramos obtener credenciales con Cypher Injection en una segunda aplicacion web. Finalmente escalamos privilegios con la creacion de un paquete de Python que es instalado con permisos privilegiados.
