Как хакеры проходят путь от ничего до административного доступа

Описание: Все демонстрации предназначены исключительно для законного, этичного и оборонительного использования. Создатель не несет ответственности за действия зрителей; попытка воспроизвести любую активность на системах без разрешения является незаконной и может повлечь за собой уголовную или гражданскую ответственность. Используйте информацию ответственно и получите явное разрешение перед тестированием.

Курс по взлому Android 👉 https://deadoverflow.gumroad.com/l/ul...
Курс по взлому игр 👉 https://deadoverflow.gumroad.com/l/ul...
Мой курс 👉 https://deadoverflow.gumroad.com/l/ma...
Aveno 👉 https://aveno.online
Мерч 👕 https://deadoverflow-shop.fourthwall....

Второй канал на YouTube:    / @deadoverflow2  

🌐 Подписывайтесь на меня в социальных сетях!

  / deadoverflow  
  / deadoverflow  

📢 Не забудьте также присоединиться к моему серверу Discord!

  / discord  

Заявление Элайджи С.:
Для справки, вы можете представить этот сайт как сайт CTF, где вы выполняете задания и получаете награды в виде призов. (Не совсем так, но, конечно, я не могу рассказать, что это было на самом деле.)

Мне было скучно, и я получил уведомление о том, что они (сайт) только что обновили API, что и побудило меня начать изучать этот сайт.

Я подумал, что, вероятно, у него есть уязвимость, и моей целью было повысить свои привилегии до администратора. Я создал новый проект Aveno и начал изучать cookie сессии. Расшифровав его, я увидел, что единственное, что идентифицировало его для меня, это мой идентификатор пользователя (не включая, например, мое имя, но это нелепо — создавать аутентификацию по имени). Я запустил скрипт, чтобы проверить, не использовали ли они какой-нибудь стандартный ключ для кодирования, например, "секретный", который позволил бы мне создать свой собственный с любым нужным мне идентификатором. Мне это не помогло, поэтому я вернулся к Aveno, проверил это и начал искать другие уязвимости в авторизации. Я провел разведку через Gobuster, чтобы получить URL-адреса API, которые привели меня к /api/user/profile. Протестировав запросы, я обнаружил, что он принимает PUT-запросы для изменения информации профиля, такой как имя пользователя или имя и т. д., но самое важное — идентификатор. (В ходе обсуждения с ними я узнал, что это было для их старой системы аутентификации).

Я мог бы использовать публичный API таблицы лидеров, чтобы получить ID администратора, но мне удалось угадать один. Когда я отправил запрос, он был принят сервером, и я мгновенно увидел вкладку администраторов, откуда я мог блокировать пользователей, удалять все из FAQ и добавлять туда все, что захочу. Удалять все из магазина призов или добавлять все, что захочу, и т. д., вы понимаете.

Я сообщил об этом, они исправили ошибку и к концу месяца выплатят мне вознаграждение в неустановленной сумме.