![[HaBo]](/styles/default/logoklein.png){kind=small}
Nabend die Damen und Herren!
(btw, hier eine Frage für die Denker unter Euch
)
Dies ist mein erster Post, wirft mir allerdings bitte nicht vor das ich weder die SuFu noch Google benutzt habe.
Sitzte hier auch schon seit guten 3-4 Stunden dran und bin, mal wieder, völlig ratlos.
Vorab: ich habe nichts illegales vor, mein Vorhaben verstößt weder gegen eine AGB noch gegen etwas anderes das via "klick mich wenn du mir zustimmst" abgesichert wurde, quasi eine legale Aktion auf umwegen. Um es genauer auszudrücken will, bzw soll ich nur 'testen' (mit der mündlichen Bestätigung des Entwicklers), in eine (online) Flash-Anwendung einzugreifen (welche im Intranet angeboten wird), von welcher ich weder den AS kenne, noch nähere Ahnung des Aufbaushemas habe.
Erstmal meine Problematik:
In einem Flash ist ein Button. Mit klick auf ihn wird die Nummer "5" (beispielweise nur, ob Integer, String, etc. ist erstmals egal) weitergegeben, an eine Datenbank/ PHP, wasauchimmer (an was genau es weitergegeben wird weiss ich vorerst nicht!). Anschließend wird im Flash von irgendwoher die Zahl "50" ausgelesen (woher weiss ich nicht!), in welche die "5" nach dem Klick addiert wurde (sprich vor dem Klick auf den Button war die Zahl die gespeichert war noch 45).
Jetzt: wenn ich mit einem Web-Debugging-Proxy das ganze via Breakpoints beobachte, dann seh ich einen Request der einen Zahlen-Buchstabenwert beeinhaltet, darauf eine Response (Antwort) der ein wirres Zahlenchaos beeinhaltet (bsp: 4546/6453/645/56354/6535). Jede Zahl in dieser gut 1500-2000 Zeichen langen Textreihe (ohne Zeilenumbruch) steht für einen anderen Wert, den ich aber nicht suche. Die "45" bzw "50" dort zu finden ist recht einfach (Suchen & Ersetzen). Wenn ich jetzt in der Antwort an den Server (bzw ans Flash) die "50" durch eine "99" ersetze und das ganze abschicke, dann kommt auf der folgenden Seite, auf der man die ursprünglich "50" sehen sollte (den aktuellen Wert eben des Integers (oder Strings, etc.)) die "99" gesehen - ALLERDINGS wird der Wert "99" nicht gespeichert, die manipulierte Antwort wird lediglich nur im Feld angezeigt aber nicht gespeichert.
Ein Druck auf F5 - in dem Feld wo die gewollte "99" steht, lauert die "50", welche - normalerweise korrekt, aber von mir nicht gewollt ist.
Dies ist eine von ein paar Varianten die ich bis jetzt ausprobiert habe, um Werte zu manipulieren, injektieren scheint nicht wirklich sonderlich zu klappen über die Varianten die ich bis jetzt probiert habe - allerdings soll ich auf dieser Art und Weise (via Debugging) an das Ziel kommen, soweit es mir gesagt wurde ist es auf diesem Weg möglich die (bsp) "50" in eine "99" zu verwandeln oder gar ein "HALLO" in dem Feld zu sehen wo eigentlich nur Zahlen stehen sollten (sofern String).
Würde mich über Ideen freuen, zumal ich mit meinen Fähigkeiten so langsam gegen eine Betonwand laufe.
MfG,
Proxymity
(btw, hier eine Frage für die Denker unter Euch
)Dies ist mein erster Post, wirft mir allerdings bitte nicht vor das ich weder die SuFu noch Google benutzt habe.
Sitzte hier auch schon seit guten 3-4 Stunden dran und bin, mal wieder, völlig ratlos.
Vorab: ich habe nichts illegales vor, mein Vorhaben verstößt weder gegen eine AGB noch gegen etwas anderes das via "klick mich wenn du mir zustimmst" abgesichert wurde, quasi eine legale Aktion auf umwegen. Um es genauer auszudrücken will, bzw soll ich nur 'testen' (mit der mündlichen Bestätigung des Entwicklers), in eine (online) Flash-Anwendung einzugreifen (welche im Intranet angeboten wird), von welcher ich weder den AS kenne, noch nähere Ahnung des Aufbaushemas habe.
Erstmal meine Problematik:
In einem Flash ist ein Button. Mit klick auf ihn wird die Nummer "5" (beispielweise nur, ob Integer, String, etc. ist erstmals egal) weitergegeben, an eine Datenbank/ PHP, wasauchimmer (an was genau es weitergegeben wird weiss ich vorerst nicht!). Anschließend wird im Flash von irgendwoher die Zahl "50" ausgelesen (woher weiss ich nicht!), in welche die "5" nach dem Klick addiert wurde (sprich vor dem Klick auf den Button war die Zahl die gespeichert war noch 45).
Jetzt: wenn ich mit einem Web-Debugging-Proxy das ganze via Breakpoints beobachte, dann seh ich einen Request der einen Zahlen-Buchstabenwert beeinhaltet, darauf eine Response (Antwort) der ein wirres Zahlenchaos beeinhaltet (bsp: 4546/6453/645/56354/6535). Jede Zahl in dieser gut 1500-2000 Zeichen langen Textreihe (ohne Zeilenumbruch) steht für einen anderen Wert, den ich aber nicht suche. Die "45" bzw "50" dort zu finden ist recht einfach (Suchen & Ersetzen). Wenn ich jetzt in der Antwort an den Server (bzw ans Flash) die "50" durch eine "99" ersetze und das ganze abschicke, dann kommt auf der folgenden Seite, auf der man die ursprünglich "50" sehen sollte (den aktuellen Wert eben des Integers (oder Strings, etc.)) die "99" gesehen - ALLERDINGS wird der Wert "99" nicht gespeichert, die manipulierte Antwort wird lediglich nur im Feld angezeigt aber nicht gespeichert.
Ein Druck auf F5 - in dem Feld wo die gewollte "99" steht, lauert die "50", welche - normalerweise korrekt, aber von mir nicht gewollt ist.
Dies ist eine von ein paar Varianten die ich bis jetzt ausprobiert habe, um Werte zu manipulieren, injektieren scheint nicht wirklich sonderlich zu klappen über die Varianten die ich bis jetzt probiert habe - allerdings soll ich auf dieser Art und Weise (via Debugging) an das Ziel kommen, soweit es mir gesagt wurde ist es auf diesem Weg möglich die (bsp) "50" in eine "99" zu verwandeln oder gar ein "HALLO" in dem Feld zu sehen wo eigentlich nur Zahlen stehen sollten (sofern String).
Würde mich über Ideen freuen, zumal ich mit meinen Fähigkeiten so langsam gegen eine Betonwand laufe.
MfG,
Proxymity
Zuletzt bearbeitet:
