14 日目。

[Day 14] I'm dreaming of secure web apps

分野は Web Applications。IDOR なのですぐ終わる。

What is the office number of Elf Pivot McRed?

解説にある通り、

• Username: mcskidy
• Password: devtest

でログインすると URL が http://<IP address>:8080/users/101.html となり、Elf McSkidy のプロフィール画面に移行する。ここで、URL の 101 を 105 に変更してアクセスすると Elf Pivot McRed のプロフィール画面となり、office number がわかる。

Not only profile pages but also stored images are vulnerable. Start with a URL of a valid profile image; what is the hidden flag?

Elf McSkidy のプロフィール画面（じゃなくても可）でプロフィール画像を右クリックし、画像を新しいタブで開くを選択すると、新しいタブで画像のみのページが開ける。

この画像の URL は http://<IP address>:8080/images/101.png となるが、この 101 を 100 に変更してアクセスするとフラグを含んだ画像が得られる。

Do you like IDOR? It's an Advent of Cyber classic! If you want more, check out the dedicated room or the Corridor challenge.

No answer needed

感想

IDOR だったのですぐ終わった。この手法は普段使うようなサイトでも簡単に応用できて楽しい。例えば Advent of Cyber 2022 のトップページにあるバナー画像なんかは 12/15 現在は https://assets.tryhackme.com/room-banners/aoc2022v3.png であるが aoc2022v3 を aoc2022v2 や aoc2022 に変更してアクセスすると過去のバナー画像を見られたりする。