TryHackMe | Neighbour WriteUp
Bu yazımda TryHackMe platformunda yer alan “Neighbour” isimli meydan okumanın çözümünü göstereceğim. Kendisi IDOR zafiyetinin pratiğini yapabileceğimiz kolay bir meydan okuma.
Giriş sayfasında misafir kullanıcı olarak giriş yapabileceğimizden bahseden bir yazı ile karşılaşıyoruz. Sayfanın kaynak kodunu görüntülediğimizde bununla ilgili bir şeyler görebileceğimizden bahsediyor.
Kaynak kodunu görüntülediğimizde ise kayıt işlemleri tamamlanana kadar “guest:guest” kullanıcı bilgilerini kullanabileceğimizi söylediğini görüyoruz. Bununla beraber “admin” kullanıcısının varlığından da haberdar oluyoruz. Elimizdeki bilgileri kullanarak giriş yapalım.
Misafir olarak giriş yaptıktan sonra bizi yukarıdaki sayfa karşıladı. Url yapısına baktığımızda user parametresi ile “guest” kullanıcısının profilini görüntülediğini görüyoruz. Kullanıcı adını “admin” olarak değiştirdiğimizde ise admin kullanıcısının sayfasını gösteriyor ve böylece bayrağı kolayca buluyoruz.
