hackxor平臺balance check及asset management解題思路
網上說hackxor是一個online及offline的滲透測試遊戲,而我覺得這更像一個很有意思的滲透平臺。其網址: https://hackxor.net/ 百度很多人給出了hackxor的本地安裝環境配置,其實這個遊戲我是線上玩的很有感想。這篇博文主要是做個筆記,下次檢視可以找找思路。下面就來看看前兩題的解題思路
Balance Check
首先注意了一下提示資訊,前幾行大概的意思就是插入劇情感興趣的可以看一下。重要資訊如下(紅框中):
最有用的是自己的account ID 為 59247213:smurf .所有的安全問題答案都是smurf 。
他的boss account ID 為 16554987:mustang73.只給出了一個安全問題答案B… G… S……
這讓我想到的是一定與cookie有關係。我們點選”go to target”開始我們的表演吧。
首先用自己的賬戶登入了一下,看原始碼要注意一下賬戶餘額是靜態的(這個為第二題提供了思路)其他的沒有什麼是有用的。
之後查看了自己賬戶的session值見下圖:
緊接著隨便翻了翻各個頁面,並沒有看到奇怪的地方。
登入boss的賬戶(在登入頁面看了下session,沒有session值),果然卡在了安全問題。不過看了下session與之前自己的賬戶相比有變化。就想到了xss攻擊中換取session從而達到登入他人賬戶的目的,在這裡就將boss登入成功但沒有完成安全問題的頁面的session值複製。之後新開啟一個登入頁面,用自己的賬戶登入成功並完成安全問題後,修改session為剛才複製的那個session,重新整理,OK頁面變了。到此大功告成!
附上幾張實戰圖片:
Asset Management
檢視題目提示和目的,目的是讓你自己從boss賬戶轉賬500到自己的賬戶(很好玩哈)。提示說這個銀行系統安全特性只注重數量不注重質量。這是提示我們有一部分內容未進行驗證可利用欺騙的手段bypass them。首先還是先在自己的賬戶上轉賬給自己試試,發現complete。之後利用前一題的方法登入上boss的賬戶轉賬發現需要手機驗證,此時想到可能是要求繞過簡訊驗證的安全特性。看了看網址發現了一個tid=XXXXXX,將它複製下來。隨後在自己的賬戶上轉賬,在要輸入密碼的頁面將tid替換掉,巧的是轉賬資訊變成了boss賬戶上的資訊。之後輸入了賬戶密碼。檢視自己的賬戶餘額變為了$505。(基本思路與上一題相同,所以截圖就少了點。)
