實戰 | 記一次對iphone手機游戲的滲透測試
實戰 | 對于某手機游戲滲透測試本文章涉及到技術,禁止用于違法犯罪,案例僅供學習參考。
序言 && 作者介紹各位師傅好,我是女鬼水妖,某高校大二學生,熱愛網絡安全,主攻紅隊方向。第一次投稿,也是第一次進行實戰演練。如果有寫的不好的地方,請師傅們指出,謝謝大家!
測試目的關于網絡上對于移動游戲滲透的文章,都比較少。再加上我本來是比較喜歡打游戲的,經過某公司滲透授權,對此游戲進行滲透測試。
測試流程其實移動游戲滲透和網站滲透的基本流程都是一樣的。我們現在所需要的聯網程序都是通過網絡對服務器進行數據交互。和游戲公司商討后就不上傳游戲頁面了,大家跟著思路來就行。
0x01:搭建好環境本人設備如下
移動端:IPHONE XR(未越獄)
PC端:Windows10 + Kali Linux
需要軟件:Burpsuite + Sqlmap
image-20220706170545113
image-20220706171113407
image-20220706171450081
image-20220706171534302
0x02 Burp抓包先進行登錄,發現它居然是用明文傳輸,沒有經過其他加密算法進行加密。
WeChat Image_20220706171810
這是登錄后、選擇服務器后、一連串的操作,我們把目光放在最后一個POST操作上
WeChat Screenshot_20220706173354
我們可以發現通過這個POST請求,可以獲得角色信息
而且 _session 和剛剛登錄的賬號密碼沒有太大的聯系
賬號密碼就是為了獲取 _session,同時 _session 是固定不變的 所以就可以說這個 _session 可以繞過來進行水平越權、同時還可以利用這個 _session 參數進行流量攻擊
經過測試,無論我們訪問那個頁面,都是需要 _session 這個參數來進行訪問
也就是說,_session 就是一個很大的突破口
思路
- 1. 試想是否能夠修改其他 _session 來進行登錄其他賬號呢?(水平越權)【經過測試以前確實可以、現在在后端增加了驗證之后就不可以了】
- 2. _session 是與數據庫進行關聯的,那是否存在注入的可能呢?(更深層次的信息收集處理)
0x03 思路2我們的目的不是登錄其他用戶的賬號,我們是看是否能直接進行對數據庫進行讀取。
WeChat Image_20220706180436
我們嘗試 用單引號進行注入
WeChat Screenshot_20220706225305
報錯了 server_error
WeChat Screenshot_20220706225518
進行了 單引號閉合,發現還真的可以。session存在SQL注入
WeChat Screenshot_20220706225805
用 Sqlmap跑一次也還是可以跑出來
WeChat Screenshot_20220706231234
可以注入,點到為止,截了圖留個紀念。
WeChat Screenshot_20220706231634
- 總結1. 移動端游戲是比較少進行滲透,我相信漏洞也是很多的,師傅們可以自己去挖掘。
- 2. 對于網上傳參,只要是涉及到數據交換的,一定要進行消毒過濾處理。
- 3. 要多留意敏感信息,提高嗅覺
- 參考文章1. 蘋果IOS手機設置BurpSuite抓包(詳細步驟)[1]
引用鏈接
[1] 蘋果IOS手機設置BurpSuite抓包(詳細步驟): https://blog.csdn.net/weixin_43965597/article/details/107864200
