hack the box / starting point
Appointment
Appointment — маленькая веб-машина про SQL-инъекцию. Она показывает, почему логин-форма должна проверять входные данные и почему запросы нельзя собирать строками.
1. Веб-разведка
После сканирования основной интерес уходит в HTTP. Страница входа — типовая точка проверки: как приложение обрабатывает логин, пароль и ошибочные значения.
nmap -sV -sC <target-ip>2. Проверка формы
В лаборатории форма уязвима к SQL-инъекции. Важно не просто “подставить строку”, а понять причину: пользовательский ввод попадает в SQL-запрос без безопасной параметризации.
3. Обход авторизации
Когда приложение неправильно строит запрос, можно изменить логику проверки учетных данных. В учебной среде это приводит к доступу внутрь, но главный урок находится не во флаге, а в механике ошибки.
Вывод
Защита здесь понятная: параметризованные запросы, валидация ввода, минимальные права БД и аккуратные сообщения об ошибках. Appointment хороша тем, что показывает это без лишнего шума.