iT邦幫忙

2022 iThome 鐵人賽

0
Security

從 Tryhackme 靶機中學習資安系列 第 23

Day23 TryHackME - intro-to-offensive-security write up -1

  • 分享至 

  • xImage
  •  

Day23 TryHackME - intro-to-offensive-security write up -1

https://tryhackme.com/room/introtooffensivesecurity
我選擇這房間覺得比較有趣
他模擬銀行漏洞讓我們去 hack
實用性和真實型都挺好的

我們開始吧~


第一小題 很無聊叫我們打開終端機

我們可以通過下指令 與電腦進行交互,無需使用圖形用戶界面 GUI。
也可以使用系統上的終端圖標,打開終端
如下圖:

2nd - 找已隱藏的網站頁面

許多企業將擁有自己的管理門戶,他們的員工能夠訪問日常活動的基本管理控制。

範例:銀行員工可以將資金轉入和轉出客戶帳戶。
這些頁面通常不設為私有,允許攻擊者發現顯示或提供對管理控製或敏感數據的訪問權限的隱藏頁面。

在終端下命令,使用 GoBuster(命令行安全應用程序)查找 FakeBank 網站上可能隱藏的頁面。
命令: gobuster -u -w wordlist.txt dir
-u = 說明我們正在掃描的網站
-w = 一個單詞列表以遍歷以查找隱藏頁面

這張圖的意思:
在頁面/目錄名稱列表中,GoBuster 會告訴您它找到的頁面(由Status: 200指示)。

第 3 步 破解銀行

我們找到了一個秘密的銀行轉帳頁面,頁面允許我們在銀行帳戶之間轉賬(/bank-transfer)。 將隱藏頁面貼入機器上的 FakeBank 網站

這格漏洞允許攻擊者從任何銀行戶頭中竊取資金,這對銀行來說是一個重大風險。作為一名道德黑客,經銀行的許可下在他們的應用程序中發現漏洞,並在黑帽黑客利用它們之前將其報告給銀行以進行修復。

我們將這個貼在 FakeBank 網路上

將 2000 美元從銀行帳戶 2276 轉入你的帳戶(帳號 8881)。
就會出現上圖

解完啦~

BANK-HACKED


上一篇
Day22 TryHackME - Nmap write up -2
下一篇
Day24 TryHackME - intro-to-offensive-security write up -2
系列文
從 Tryhackme 靶機中學習資安30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言