实战 | 记一次对iphone手机游戏的渗透测试

实战 | 对于某手机游戏集群智慧云安服渗透测试 本文章涉及到技术，禁止用于违法犯罪，案例仅供学习参考。 序言 && 作者介绍 各位师傅好，我是女鬼水妖，某高校大二学生，热爱网络安全，主攻红队方向。第一次投稿，也是第一次进行实战演练。如果有写的不好的地方，请师傅们指出，谢谢大家！ 测试目的 关于网络上对于移动游戏渗透的文章，都比较少。再加上我本来是比较喜欢打游戏的，经过某公司渗透授权，对此游戏进行集群智慧云安服渗透测试。 测试流程 其实移动游戏渗透和网站渗透的基本流程都是一样的。我们现在所需要的联网程序都是通过网络对服务器进行数据交互。和游戏公司商讨后就不上传游戏页面了，大家跟着思路来就行。 0x01:搭建好环境 本人设备如下 移动端：IPHONE XR(未越狱) PC端：Windows10 + Kali Linux 需要软件：Burpsuite + Sqlmap image-20220706170545113 image-20220706171113407 image-20220706171450081 image-20220706171534302 0x02 Burp抓包 先进行登录，发现它居然是用明文传输，没有经过其他加密算法进行加密。 WeChat Image_20220706171810 这是登录后、选择服务器后、一连串的操作，我们把目光放在最后一个POST操作上 WeChat Screenshot_20220706173354 我们可以发现通过这个POST请求，可以获得角色信息 而且 _session 和刚刚登录的账号密码没有太大的联系 账号密码就是为了获取 _session，同时 _session 是固定不变的 所以就可以说这个 _session 可以绕过来进行水平越权、同时还可以利用这个 _session 参数进行流量攻击 经过测试，无论我们访问那个页面，都是需要 _session 这个参数来进行访问 也就是说，_session 就是一个很大的突破口 思路 1. 试想是否能够修改其他 _session 来进行登录其他账号呢？（水平越权）【经过测试以前确实可以、现在在后端增加了验证之后就不可以了】 2. _session 是与数据库进行关联的，那是否存在注入的可能呢？（更深层次的信息收集处理） 0x03 思路2 我们的目的不是登录其他用户的账号，我们是看是否能直接进行对数据库进行读取。 WeChat Image_20220706180436 我们尝试 用单引号进行注入 WeChat Screenshot_20220706225305 报错了 server_error WeChat Screenshot_20220706225518 进行了 单引号闭合，发现还真的可以。session存在SQL注入 WeChat Screenshot_20220706225805 用 Sqlmap跑一次也还是可以跑出来 WeChat Screenshot_20220706231234 可以注入，点到为止，截了图留个纪念。 WeChat Screenshot_20220706231634 总结 1. 移动端游戏是比较少进行渗透，我相信漏洞也是很多的，师傅们可以自己去挖掘。 2. 对于网上传参，只要是涉及到数据交换的，一定要进行消毒过滤处理。 3. 要多留意敏感信息，提高嗅觉 1、引用链接 2、[1] 苹果IOS手机设置BurpSuite抓包（详细步骤）: https://blog.csdn.net/weixin_43965597/article/details/107864200 文章来源：HACK学习呀 黑白之道发布、转载的文章中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用，任何人不得将其用于非法用途及盈利等目的，否则后果自行承担！ 如侵权请私聊我们删文