主站

分类

漏洞 工具 极客 web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据库安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

FreeBuf+小程序

官方公众号企业安全新浪微博

国内领先的互联网安全新媒体,同时也是爱好者们交流与分享安全技术的社区

OWASP Juice Shop题解(一) 金币
2017-11-30 14:00:15

安装过程就不说了,网上很多攻略已经说的很详细了,直接进入正题。

安装完成后的界面:

israbye FreeBuf.COM

1.Score Board

查看一下页面源代码,发现一个隐藏URL

israbye FreeBuf.COM

打开这个URL  http://172.16.68.100:3000/#/score-board,即完成第一个挑战。

2. Error Handling

看到登录框,顺手就测试一下是否有注入,在登录框输入单引号,点击登录,出了报错sql语句就完成挑战

israbye FreeBuf.COM

3. Login Admin

通过上面错误提示可以看出完整的sql语句是select * form Users where email='' and password='md5(password)'

接着上面继续注入,用户名: ’ or 1=1--  密码:任意

israbye FreeBuf.COM

成功登录admin账户

4. XSS Tier 1

    搜索的地方,随便搜索什么,都会回显,很可能存在反射型xss,直接搜索:

<script>alert("XSS1")</script>

israbye FreeBuf.COM

5. Five-Star Feedback&Admin Section

看提示说是找到admin功能选项就可以解决,浏览了一遍前端url没有发现,那就只能是隐藏的URL了,最终通过目录爆破找到:

172.16.68.100:3000/#/administration

israbye FreeBuf.COM

删除那个5星评价即可完成另外一个挑战。

6.Confidential Document

在contact us中,有一段文字是带超链接的,点击,通过burp抓包可以看到

israbye FreeBuf.COM

直接访问http://172.16.68.100:3000/ftp即可完成挑战

israbye FreeBuf.COM

7.Zero Stars

给差评,这个很简单,直接burp抓包,把评价改成0星就可以了

8.Password Strength

这个没啥说的,admin账户的暴力破解,最终爆破出来密码是admin123

9.Basket Access

抓包看一下basket这个请求,发现这么个请求

israbye FreeBuf.COM

Admin账户是1,改成其它数字就是其它账户的basket(我是通过登录其它账户抓包对比发现的),算是个平行越权漏洞。

10.Forgotten Sales Backup&Forgotten Developer Backup&Easter Egg Tier 1

还是这里:http://172.16.68.100:3000/ftp

coupons_2013.md.bak 这个文件直接点,打不开,但是发现.md格式的文件直接点就可以打开或者下载,用%00截断尝试,成功打开

http://172.16.68.100:3000/ftp/coupons_2013.md.bak%2500.md

同样的方法,把其他文件都打开,即可通过这三个挑战。

其中egg那个文件里面有一串base64编码的字符串,解码后明文为:

/gur/qrif/ner/fb/shaal/gurl/uvq/na/rnfgre/rtt/jvguva/gur/rnfgre/rtt

看提示说是要找到real easter egg 需要根据这个线索去找,可能后面会用到。

11.Christmas Special

商店里面明显没有什么相关商品,那么只能想办法找到隐藏的礼物,还是在search那里尝试注入

israbye FreeBuf.COM

尝试了一会没注入成功,但是爆出来了完整的sql语句,根据这个构造注入:%27))--

israbye FreeBuf.COM

下单购买这个隐藏礼物就行了。

12.Login Jim&Login Bender

跟上面登录admin差不多,还是注入,以jim为例:jim@juice-sh.op'--

任意密码即可登录,同样的方法登录Bender的账户即可完成挑战。

13.XSS Tier 2

存储型xss,先得找到哪里可能存在存储型xss

Contact us / recyle  / complain 还有一个比较容易被忽略的地方,注册用户的用户名,用户名会显示在:http://172.16.68.100:3000/#/administration

因为说是绕过客户端的安全机制,前三个经尝试应该都是服务端的安全措施,所以比较容易锁定注册用户这里。因为注册用户的邮箱格式校验是在客户端做的,用burp抓包即可修改,完成注册。

israbye FreeBuf.COM

israbye FreeBuf.COM

14.Forged Feedback

在contact us中反馈,通过burp抓包

israbye FreeBuf.COM

很明显uerid代表不同用户,修改userid即可完成挑战。

15.Payback Time

两种方法:修改商品价格为负或者修改数量为负,即可满足挑战要求

把商品加入购物车的时候,抓包

israbye FreeBuf.COM

只能修改quantity(数量),改为-1 去结账

israbye FreeBuf.COM

16.CSRF

修改密码这里,如果存在csrf,那么原密码肯定有办法绕过,经过尝试发现,修改密码的时候把原密码置为空,即可绕过原密码完成密码修改。

但是无论是通过下面这个url直接改密码

http://172.16.68.100:3000/rest/user/change-password?current=&new=111112&repeat=111112

或者构造自动提交的csrf表单,虽然都完成了密码修改工作,但是不知道为啥一直没提示挑战通过。

其它

现在知道有Users Products这两张表

注入点分别在登录和搜索处,完整的sql语句也有,想通过手工注入的方式完成其它SQL注入相关的题目一直没有成功T_T 

平时习惯了sqlmap,不知道为啥做这个靶场用不了sqlmap,手工注入还需要提高啊。

水平比较菜,目前就完成了这么点,40%完成度,继续努力。

*本文作者:administrat0r,转载请注明FreeBuf.COM

本文作者:, 转载请注明来自FreeBuf.COM

# OWASP
被以下专栏收录,发现更多精彩内容
+ 收入我的专栏
评论 按时间排序

登录/注册后在FreeBuf发布内容哦

相关推荐
  • 0 文章数
  • 0 评论数
  • 0 关注者
登录 / 注册后在FreeBuf发布内容哦