最近开始尝试Hackxor靶机,还挺有意思的,做个记录好了!
Balance Check
首先打开一长串英文,背景爱看不看。
提取重点:
出题人想让我们获取business partner的账户余额。
business partner 的账户和密码分别为16554987和mustang73,出题人只知道其中一个问题的答案为Bristol Grammar School(其实没啥用)。
出题人提供了一个账户ID:59247213,该账户所有的密码都为smurf。
好了,开冲!Go to target!
常规的登录界面,使用business partner 登录后出现了安全验证问题,发现每次登录问题会变,若问题回答错误则会跳转回登录界面,但是session不会重置。
使用出题人提供的账号id进入看看有没有注入点吧!
每个页面看看好像都没有什么特别能引起注意的。
有点束手无策,那就从cookie和session中入手试试?注意登录之后session并不会发生变化。
使用business partner的账户登录,这时候能获取session。
记录下这个session,然后用另一个账户登录,成功登录之后将session替换。
搞定!
总而言之,我的理解是,该系统在登录验证的时候只验证了是否登录,并无验证session和登录信息是否匹配,而且登录验证和登录成功后的session并无改变,这就造成了漏洞。
Asset Management
依然是背景,提取信息:
出题人说他没钱,让我们自己去business partner的账户里拿,信息和上题一样。没钱还找打工人???
行呗,Go to target。
还是先用另一个账户看看操作。
把为数不多的¥5转给试试!
成功了。
接下来用上一题的方法登录business partner的账户,试试能不能直接把钱转给出题人。
这咋整啊,说要打电话验证,只能找找别的方法了。
注意到url有一个id,试试用这个id和原本的session(也就是出题人提供账户的)进入这个界面。(用burpsuite的话直接停止代理刷新即可。)
接下来输入出题人提供的账户的密码就行!
搞定!