Shikata Ga Nai

Private? There is no such things.

Unprotected admin functionality with unpredictable URLをやってみた

Hello there, ('ω')ノ

 

予測できないURLを持つ保護されていない管理機能を。

サイトにアクセスして。

ソースコード内をadminで検索して。

 

f:id:ThisIsOne:20210311165303p:plain

 

adminだった場合の処理が見つかって。

そこにはディレクトリの記述も。

 /admin-b820nx

 

f:id:ThisIsOne:20210311165410p:plain

 

さっそく、下記へアクセスしてみると管理者パネルが。

 https://ac8a1fc81f3fa8568027652d007d001a.web-security-academy.net/admin-b820nx

 

carlosをDeleteして、クリアできた。

 

f:id:ThisIsOne:20210311165516p:plain

 

Best regards, (^^ゞ