TryHackMe - Neighbour (Vecino)
Descubre nuestro nuevo servicio en la nube, Autenticación en Cualquier Lugar
Introducción
Tenemos un pequeño texto de introducción:
Descubre nuestro nuevo servicio en la nube, Autenticación en Cualquier Lugar — ¡inicia sesión desde donde quieras! Los usuarios pueden ingresar su nombre de usuario y contraseña, ¡para un proceso de inicio de sesión totalmente seguro! Definitivamente no podrías encontrar ningún secreto que otras personas tengan en su perfil, ¿verdad?
Accede a este reto desplegando tanto la máquina vulnerable presionando el botón verde “Iniciar Máquina” ubicado dentro de esta tarea, como el TryHackMe AttackBox presionando el botón “Iniciar AttackBox” ubicado en la parte superior derecha de la página.
Bandera
Al visitar el sitio web proporcionado, se nos presenta el formulario de inicio de sesión y se nos indica revisar el código fuente.
Y recibimos nuestras credenciales de invitado.
Después de iniciar sesión, podemos ver que la URL ha cambiado a guest.
Intentemos cambiarlo a admin
Pues eso fue demasiado fácil, pero al menos podemos ver lo sencillo que es explotar una vulnerabilidad IDOR y que con solo un poco de imaginación podemos obtener acceso que no deberíamos tener