實戰 | 記一次對iphone手機游戲的滲透測試

本文章涉及到技術，禁止用于違法犯罪，案例僅供學習參考。

序言 && 作者介紹

各位師傅好，我是女鬼水妖，某高校大二學生，熱愛網絡安全，主攻紅隊方向。第一次投稿，也是第一次進行實戰演練。如果有寫的不好的地方，請師傅們指出，謝謝大家！

測試目的

關于網絡上對于移動游戲滲透的文章，都比較少。再加上我本來是比較喜歡打游戲的，經過某公司滲透授權，對此游戲進行滲透測試。

測試流程

其實移動游戲滲透和網站滲透的基本流程都是一樣的。我們現在所需要的聯網程序都是通過網絡對服務器進行數據交互。和游戲公司商討后就不上傳游戲頁面了，大家跟著思路來就行。

0x01:搭建好環境

本人設備如下

移動端：IPHONE XR(未越獄)

PC端：Windows10 + Kali Linux

需要軟件：Burpsuite + Sqlmap

image-20220706170545113

image-20220706171113407

image-20220706171450081

image-20220706171534302

0x02 Burp抓包

先進行登錄，發現它居然是用明文傳輸，沒有經過其他加密算法進行加密。

WeChat Image_20220706171810

這是登錄后、選擇服務器后、一連串的操作，我們把目光放在最后一個POST操作上

WeChat Screenshot_20220706173354

我們可以發現通過這個POST請求，可以獲得角色信息

而且 _session 和剛剛登錄的賬號密碼沒有太大的聯系

賬號密碼就是為了獲取 _session，同時 _session 是固定不變的 所以就可以說這個 _session 可以繞過來進行水平越權、同時還可以利用這個 _session 參數進行流量攻擊

經過測試，無論我們訪問那個頁面，都是需要 _session 這個參數來進行訪問

也就是說，_session 就是一個很大的突破口

思路

1. 1. 試想是否能夠修改其他 _session 來進行登錄其他賬號呢？（水平越權）【經過測試以前確實可以、現在在后端增加了驗證之后就不可以了】

2. _session 是與數據庫進行關聯的，那是否存在注入的可能呢？（更深層次的信息收集處理）

0x03 思路2

我們的目的不是登錄其他用戶的賬號，我們是看是否能直接進行對數據庫進行讀取。

WeChat Image_20220706180436

我們嘗試 用單引號進行注入

WeChat Screenshot_20220706225305

報錯了 server_error

WeChat Screenshot_20220706225518

進行了 單引號閉合，發現還真的可以。session存在SQL注入

WeChat Screenshot_20220706225805

用 Sqlmap跑一次也還是可以跑出來

WeChat Screenshot_20220706231234

可以注入，點到為止，截了圖留個紀念。

WeChat Screenshot_20220706231634

總結

1. 1. 移動端游戲是比較少進行滲透，我相信漏洞也是很多的，師傅們可以自己去挖掘。
2. 2. 對于網上傳參，只要是涉及到數據交換的，一定要進行消毒過濾處理。
3. 3. 要多留意敏感信息，提高嗅覺

1、引用鏈接

1. 2、[1] 蘋果IOS手機設置BurpSuite抓包（詳細步驟）: https://blog.csdn.net/weixin_43965597/article/details/107864200

文章來源：HACK學習呀