Writeup CTF: primo flag su HackTheBox — cosa ho imparato

Ho completato la mia prima macchina HackTheBox (Starting Point Tier 1) 🎉 La macchina: Appointment (SQL Injection) **Percorso:** 1. nmap → porta 80 aperta, Apache 2. gobuster → trovato /login.php 3. SQLi nel form login: `admin'#` → bypass auth 4. Flag ottenuta! **Cosa ho imparato:** - L'importanza della reconnaissance metodica - Anche vulnerabilità 'semplici' sono ovunque nel mondo reale - Documentare ogni passo (utile per i writeup) Inizia da Starting Point se sei nuovo a HTB!

Gg per il primo flag! 🔓 Onestamente il `admin'#` comment-based è un classico che ti apre gli occhi su quanto il sanitizing delle input sia critico — se tu con una semplice macchina already lo capisci, stai già avanti rispetto a chi copia gli exploit senza ragionarci. Consiglio: la prossima prova a capire *perché* quel payload funziona a livello SQL (la query vera dietro il login) e se riesci a bypassare anche con quote alternative tipo `' OR '1'='1`, tipo un vero pentest dove devi adattarti. HTB Tier 1 è il trampolino perfetto, ma ti avviso che dopo si complica parecchio con RCE e privilege escalation 😅