Bài 1: User role controlled by request parameter

Mô tả
Bài thực hành này có một ngồn truy cập admin (/admin), và xác thực admin thông
qua cookie
Bạn có thể truy cập vào tài khoản wiener:peter
Để hoàn thành bài thực hành, truy cập vào trang admin và xoá người dùng carlos

Thực hành

Tiến hành mở Burp suite và bật proxy để nhận được các request từ trình duyệt

Tiến hành thử truy cập vào trang admin và xem kết quả

Ta thấy thông báo yêu cầu tài khoản admin được trả về trên trình duyệt
Thử vào trang login và đăng nhập vào tài khoản được cung cấp

Sau khi đăng nhập, sang lịch sử request bên burp suite và check POST request
login của user
Ta thấy trong request có trường set cookie admin false => thử truy cập vào trang
admin một lần nữa và xem lại request được gửi đi

Ta thấy trong request được gửi đi bao gồm cookie admin = false nhằm thông báo
đến server người truy cập tài nguyên không phải là admin => bật interceptor để
chặn bắt và chỉnh sửa request và gửi đi
=> Đã truy cập được vào trang admin và thực hiện xoá người dùng carlos để hoàn
thành bài lap
Bài 2: Web shell upload via path traversal
Mô tả

Bài lab này có chứa lỗ hổng trong chức năng tải ảnh lên server. Server được cấu
hình để ngăn chặn những file thực thi mà người dùng cung cấp, nhưng cấu hình
này có thể thông qua bằng cách khai thác một lỗ hổng thứ hai.
Để hoàn thành bài lab, tải lên một đoạn mã PHP cơ bản và dùng nó để lấy thông tin
trong file /home/carlos/secret. Submit những thông tin đó lên nút được cung cấp
trong banner của bài lab.
Bạn có thể đăng nhập vào tài khoản wiener:peter

Thực hành

Đăng nhập vào tài khoản được cung cấp và tải ảnh lên avatar sau đó vào lịch sử
request trong burp suite và xem thông tin request được gửi đến server yêu cầu
upload ảnh
Ta thấy file ảnh được lưu vào thư mục avatars trên server.
=> Test thử upload file php có nội dung
<?php echo file_get_contents('/home/carlos/secret'); ?>

Quay về trang cá nhân và thử truy cập xem ảnh ở tab khác

Server không cho phép thực thi file php khi được người dùng yêu cầu truy cập đến
file nằm trong folder avatars.
Vì vậy ta sẽ thử khải thác lỗ hổng thông qua việc bypass đường dẫn file thông qua
tên file được yêu cầu upload lên server
Gửi request upload ảnh từ proxy history trong burp suite đến repeater và thực hiện
đổi tên file trong request như sau:
Gửi request đến server, bypass đường dẫn file thành công
Quay về trang cá nhân và mở avatar trên tab mới và xem kết quả

Server không thể truy cập đến file php thông qua đường dẫn
files/avatars/requestedFile.php do file đã được bypass về thư mục files.
=> Để truy cập đến file php được tải lên, ta truy cập đến đường dẫn
files/requestedFile.php
Thông tin trong file /home/carlos/secret được trả ra => submit để hoàn thành bài
lab