Level 1: Breakbook

Empezamos el siguiente nivel del course de HackerOne, en este caso el código fuente de la página nos dice que encontraremos estas vulnerabilidades, CSRF, XSS stored, Force Browsing, indagando un poquito más de la cuenta también hemos saco un XSS reflected.

codesource.PNG

Empezaremos con el Cross Site Request Forgery, una vez hecho el del nivel anterior simplemente hay que tener en cuenta que aquí han implementado un csrf-token como medida de protección, el cual no podemos modificar ni olvidarnoslo en el código HTML que creemos ya que sino obtendríamos esta respuesta:

Token modificado:

code source bad csrf token.PNG

 

Respuesta:

bad csrf token.PNG

Como podemos observar esta medida es un token encriptado en  MD5, el cual si lo incluímos directamente en nuestra form del código HTML, bypasseará dicha protección y llevaremos a cabo el ataque CSRF.

Así nos quedaría el código HTML final:

csrf code source bypass.PNG

Una vez realizado el ataque CSRF, describiremos el XSS reflected que encontramos atacando directamente la etiqueta <a href> cuando buscabamos el XSS stored. A continuación adjunto la imagen del ataque XSS:

link explotable.PNG

XSS exploited.PNG

Obteniendo como resultado:

cookie.PNG

Nos informa el enunciado que para explotar el XSS stored no se puede utilizar lenguaje HTML en el recuadro de introducción de carácteres, pero si se pueden utilizar enlaces.

XSS enunciado.PNG

Aquí opte por incluir un enlace el cual se quedará almacenado y cada vez que el usuario pulsará el link, popeara la ventanita del XSS stored. Para ello utilizaremos este payload:

storeD XSS.PNG

La web test.com es un dominio el cual te deja hacer tests de diferente índole.

stored xss exploited.PNG

Por último ya solamente nos quedaría el Force Browsing, que es simplemente localizar alguna URL y llevarla a nuestro antojo a directorios o páginas de usuarios las cuales con nuestro acceso no tendríamos que ver.

insecure-or-forcebrowsing.pngComo vemos en la imagen superior e inferior, estamos viendo lo que otros usuarios han escrito desde sus cuentas, simplemente cambiando el parámetro id que está al final de la URL por el número que se nos antoje.

insecure-or-forcebrowsing1.png

Saludos!