• 🔥 Бесплатный курс от Академии Кодебай: «Анализ защищенности веб-приложений»

    🛡 Научитесь находить и использовать уязвимости веб-приложений.
    🧠 Изучите SQLi, XSS, CSRF, IDOR и другие типовые атаки на практике.
    🧪 Погрузитесь в реальные лаборатории и взломайте свой первый сайт!
    🚀 Подходит новичкам — никаких сложных предварительных знаний не требуется.

    Доступ открыт прямо сейчас Записаться бесплатно

Можно ли заставить запустить свой swf файле на сайте

sinner67

Green Team
24.03.2017
278
334
Здравствуйте всем тем кто откликнулся!
Прошу наставить на пусть истинный отцов web хека.
Имеется ситуация:
Есть сайт на котором авторизация и аутентификация производится через swf файл. Т.е. стартовая страница - это некоторый swf файл на котором, грубо говоря, есть только кнопка "войти". При нажатии на кнопку срабатывает скрипт, который отправляет на сервер некоторое число. Что бы войти на сайт необходимо отправить определенное число(я знаю какое именно).
часть кода начальной страницы:
URL: https://"domenSite"/dir1/index.php?submit
Код:
<object width="485" height="285">
              <param value="/dir1/dir2/file.swf" name="movie">
              <embed width="485" height="285" src="/dir1/dir2/file.swf" bgcolor="#000000">          
</object>
соответственно сам swf файл находится в https://"domenSite"/dir1/dir2/file.swf
Я этот файл скачал декомпелировал, исправил как надо и вот тут у меня возникла проблема ради которой весь этот пост.
Есть ли возможность заставить сервер загрузить именно мой, исправленный, swf файл?
Интересует именно этот способ.
Прошу тех кто разбирается в этом НЕ рассказывать как это сделать, а просто подсказать что за вектор атаки(если есть такой вообще), какие темы надо знать что бы это совершить.
Оговорюсь: это не настоящий пример, а туториал.
сам скрипт в swf файле такой:
Код:
on overDownToOverUp
      push 'pid', 123456
      varEquals
      push 'https://"domenSite"/dir1/index.php?submit', '_self'
      getURL2 POST
    end
вместо "123456" должно быть 654321.
Увидев '_self' я почему то начал рыть в направлении Content-Security-Policy но у меня так мало знаний что голова идет кругом.
Прошу подтолкнуть в нужном направлении, заранее спасибо!
[doublepost=1511518485,1511468555][/doublepost]Прошу администрацию удалить пост. Осознал всю простоту проблемы.
 
  • Нравится
Реакции: Сергей Попов
Скачал файл swf, изменил как мне надо, и запустил измененный через браузер со своего ПК. Вот и все. До этого почему не проходило, потому что не использовал браузер для запуска swf, а проигрыватель swf файлов.
 
Мы в соцсетях:

Взломай свой первый сервер и прокачай скилл — Начни игру на HackerLab