网上说hackxor是一个online及offline的渗透测试游戏,而我觉得这更像一个很有意思的渗透平台。其网址: https://hackxor.net/ 百度很多人给出了hackxor的本地安装环境配置,其实这个游戏我是线上玩的很有感想。这篇博文主要是做个笔记,下次查看可以找找思路。下面就来看看前两题的解题思路
Balance Check
首先注意了一下提示信息,前几行大概的意思就是插入剧情感兴趣的可以看一下。重要信息如下(红框中):
最有用的是自己的account ID 为 59247213:smurf .所有的安全问题答案都是smurf 。
他的boss account ID 为 16554987:mustang73.只给出了一个安全问题答案B… G… S……
这让我想到的是一定与cookie有关系。我们点击”go to target”开始我们的表演吧。
首先用自己的账户登录了一下,看源代码要注意一下账户余额是静态的(这个为第二题提供了思路)其他的没有什么是有用的。
之后查看了自己账户的session值见下图:
紧接着随便翻了翻各个页面,并没有看到奇怪的地方。
登录boss的账户(在登录页面看了下session,没有session值),果然卡在了安全问题。不过看了下session与之前自己的账户相比有变化。就想到了xss攻击中换取session从而达到登录他人账户的目的,在这里就将boss登录成功但没有完成安全问题的页面的session值复制。之后新打开一个登录页面,用自己的账户登录成功并完成安全问题后,修改session为刚才复制的那个session,刷新,OK页面变了。到此大功告成!
附上几张实战图片:
Asset Management
查看题目提示和目的,目的是让你自己从boss账户转账500到自己的账户(很好玩哈)。提示说这个银行系统安全特性只注重数量不注重质量。这是提示我们有一部分内容未进行验证可利用欺骗的手段bypass them。首先还是先在自己的账户上转账给自己试试,发现complete。之后利用前一题的方法登录上boss的账户转账发现需要手机验证,此时想到可能是要求绕过短信验证的安全特性。看了看网址发现了一个tid=XXXXXX,将它复制下来。随后在自己的账户上转账,在要输入密码的页面将tid替换掉,巧的是转账信息变成了boss账户上的信息。之后输入了账户密码。查看自己的账户余额变为了$505。(基本思路与上一题相同,所以截图就少了点。)
9888
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
