search
YouTubeTwitterLinkedIn

Lab #2: Exploiting server-side parameter pollution in a query string

Clickeamos sobre "Olvide contraseña" y se genera la siguiente peticion:

POST /forgot-password HTTP/2
Host: 0aa3005203d3047380010d4b00b600a8.web-security-academy.net
Cookie: session=RqXwF4z7LXGnnVnFJKtqokpgSjUEDqQp
Content-Length: 60
Sec-Ch-Ua-Platform: "Windows"
Accept-Language: es-CO,es;q=0.9
Sec-Ch-Ua: "Chromium";v="134", "Not:A-Brand";v="24", "Google Chrome";v="134"
Content-Type: x-www-form-urlencoded
Sec-Ch-Ua-Mobile: ?0
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/134.0.0.0 Safari/537.36
Accept: */*
Origin: https://0aa3005203d3047380010d4b00b600a8.web-security-academy.net
Sec-Fetch-Site: same-origin
Sec-Fetch-Mode: cors
Sec-Fetch-Dest: empty
Referer: https://0aa3005203d3047380010d4b00b600a8.web-security-academy.net/forgot-password
Accept-Encoding: gzip, deflate, br
Priority: u=1, i
Connection: keep-alive

csrf=HPd9uJko5vPIzKQiJG1gGyu5syaCzRR4&username=administrator

Y esto responde asi:

Y cambiamos el administratror a:

Esto indica la posibilidad de enumerar usuarios activos en el sistema:

Debido a que la peticion previa respondio asi:

Se procede a validar el siguiente payload:

Y lo anterior respondio asi:

Tambien se decide enviar este payload:

Lo cual respondio asi:

circle-info

Observa que esto devuelve un mensaje de error indicando "Field not specified". Esto sugiere que la consulta en el servidor podría incluir un parámetro adicional llamado field, el cual ha sido eliminado debido al carácter #

Por lo anterior, se envia la siguiente peticion:

Y esto responde asi:

Utilicemos Intruder para identificar el nombre del campo y usaremos un simple list llamado Server-side variable names:

Y esto responde asi:

Durante la interaccion inicial se identifico el siguiente archivo:

Y el contenido de este archivo JavaScript:

Y en este archivo se identifica la siguiente linea:

Y debido a lo anterior, se enviara esta peticion:

y esto responde asi:

Usando la informacion previamente obtenida construimos la peticion:

Esto nos redirecciona a un formulario que permite cambiar la contraseña para el usuario indicado administrator.

Y al enviar la peticion de cambio de password se genera asi:

Luego de eso eliminamos a carlos para finalizar el reto.

AnteriorLab #1: Exploiting an API endpoint using documentationSiguienteLab #3: Finding and exploiting an unused API endpoint

Última actualización