深入浅出IDOR漏洞:TryHackMe 2025圣诞挑战Day5 WriteUp
免责声明: 本Writeup基于TryHackMe平台上的夺旗挑战赛,仅用于教育目的。
自从McSkidy失踪后,Wareville的精灵们便处于高度戒备状态。最近,支持团队接到了许多家长打来的电话,他们无法在TryPresentMe网站上激活代金券。家长们还提到,他们收到了大量针对性极强的钓鱼邮件,邮件中包含了一些非公开的信息。支持团队对此十分警觉,并寻求了TBFC职员的帮助。在调查这个特殊案例时,他们发现了一个名为Sir Carrotbane的可疑账户,该账户被分配了大量代金券。目前,他们已删除该账户并收回了代金券。但事态仍在发展中。你能帮助TBFC职员调查TryPresentMe网站并修复其漏洞吗?
任务1 简介
我的目标机器和AttackBox已启动,我准备好学习IDOR了。
无需回答。
任务2 架子上的IDOR
IDOR代表什么?
不安全的直接对象引用FINISHED CSD0tFqvECLokhw9aBeRqpnmu6AImIyEfefL6NB2nX/QId/aAWhJxU2o53GhPhYSW03p/VCUf1WfCVdlxIq336Fi2bdycyuRiWfkDD6E6padD4DGLLx8f4u2B5N4bZalOLZAEhhLEz6dWsiA0ArZwg==
