实战 | 记一次对iphone手机游戏的渗透测试
2022-7-11 10:2:25 Author: 黑白之道(查看原文) 阅读量:17 收藏

本文章涉及到技术,禁止用于违法犯罪,案例仅供学习参考。

序言 && 作者介绍

各位师傅好,我是女鬼水妖,某高校大二学生,热爱网络安全,主攻红队方向。第一次投稿,也是第一次进行实战演练。如果有写的不好的地方,请师傅们指出,谢谢大家!

测试目的

关于网络上对于移动游戏渗透的文章,都比较少。再加上我本来是比较喜欢打游戏的,经过某公司渗透授权,对此游戏进行渗透测试。

其实移动游戏渗透和网站渗透的基本流程都是一样的。我们现在所需要的联网程序都是通过网络对服务器进行数据交互。和游戏公司商讨后就不上传游戏页面了,大家跟着思路来就行。

0x01:搭建好环境

本人设备如下

移动端:IPHONE XR(未越狱)

PC端:Windows10 + Kali Linux

需要软件:Burpsuite + Sqlmap

image-20220706170545113

image-20220706171113407

image-20220706171450081

image-20220706171534302

0x02 Burp抓包

先进行登录,发现它居然是用明文传输,没有经过其他加密算法进行加密。

WeChat Image_20220706171810

这是登录后、选择服务器后、一连串的操作,我们把目光放在最后一个POST操作上

WeChat Screenshot_20220706173354

我们可以发现通过这个POST请求,可以获得角色信息

而且 _session 和刚刚登录的账号密码没有太大的联系

账号密码就是为了获取 _session,同时 _session 是固定不变的 所以就可以说这个 _session 可以绕过来进行水平越权、同时还可以利用这个 _session 参数进行流量攻击

经过测试,无论我们访问那个页面,都是需要 _session 这个参数来进行访问

也就是说,_session 就是一个很大的突破口

思路

  1. 1. 试想是否能够修改其他 _session 来进行登录其他账号呢?(水平越权)【经过测试以前确实可以、现在在后端增加了验证之后就不可以了】

  2. 2. _session 是与数据库进行关联的,那是否存在注入的可能呢?(更深层次的信息收集处理)

0x03 思路2

我们的目的不是登录其他用户的账号,我们是看是否能直接进行对数据库进行读取。

WeChat Image_20220706180436

我们尝试 用单引号进行注入

WeChat Screenshot_20220706225305

报错了 server_error

WeChat Screenshot_20220706225518

进行了 单引号闭合,发现还真的可以。session存在SQL注入

WeChat Screenshot_20220706225805

用 Sqlmap跑一次也还是可以跑出来

WeChat Screenshot_20220706231234

可以注入,点到为止,截了图留个纪念。

WeChat Screenshot_20220706231634

总结

  1. 1. 移动端游戏是比较少进行渗透,我相信漏洞也是很多的,师傅们可以自己去挖掘。

  2. 2. 对于网上传参,只要是涉及到数据交换的,一定要进行消毒过滤处理。

  3. 3. 要多留意敏感信息,提高嗅觉

    1、引用链接

    2、[1] 苹果IOS手机设置BurpSuite抓包(详细步骤): https://blog.csdn.net/weixin_43965597/article/details/107864200

文章来源:HACK学习呀

黑白之道发布、转载的文章中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途及盈利等目的,否则后果自行承担!

如侵权请私聊我们删文

END

多一个点在看多一条小鱼干


文章来源: http://mp.weixin.qq.com/s?__biz=MzAxMjE3ODU3MQ==&mid=2650544671&idx=3&sn=07bff1d0e901e154deac2f375f14ab18&chksm=83bd7ffbb4caf6ede340acb04438e775a38ddcdc4d2c6dbf730c3c4a6e465d86733691e8fd03#rd
如有侵权请联系:admin#unsafe.sh