Level 6: Student Center

Otro nivel finalizado!. En este ejercicio explotamos varios XSS tanto Reflected como Stored, una maravillosa SQL injection y por último un CSRF. Vamos a por ello:

sourcecode.png

En este nivel empezaremos primero por el XSS Reflected, vamos probando parámetro por parámetro mediante BurpSuite, a ver si se refleja nuestro payload en el código fuente y observamos que el párametro filter es vulnerable, utilizamos el payload que muestra nuestra URL:

filterparameterXSS.png

A continuación nos ponemos con el XSS Stored. Aquí básicamente la estrategia es guardar un payload que almacenado en un parámetro podemos interactuar con él una vez almacenado, yo opté por utilizar un onmouseover:

XSS stored payload.PNG

Presionamos el botón de Edit del ID 81382, que es donde hemos almacenado el payload y una vez en la pantalla de editar la información del usuario, movemos el ratón por encima de el parámetro vulnerado, en este caso el Last Name y …. POP!:

Stored XSS Exploited.PNG

Una vez hemos finalizado los XSS, procedemos a vulnerar el CSRF. En este caso simplemente crearemos un código malicioso, el cual a través de nuestra URL consultará el registro de usuarios, sin que nada ni nadie nos lo impida:

CSRFcode.PNG

CSRFexploited.PNG

Como véis en la imagen superior lo que hacemos es modificar el value “Logan” en nuestra URL maliciosa, para consultar si hay algún usuario con ese nombre, retornándonos el usuario con ID 78602. También se podría haber explotado el useradd ya que tampoco tiene ninguna medida de seguridad adicional.

Por último ya solamente nos queda explotar el SQLI. Probamos las maravillosas comillas simples en el parámetro Filter, obteniendo un sospechoso Internal Server Error:

error SQLI.PNG

Por lo tanto, dado el enunciado del ejercicio y el error obtenido, probamos varios payloads para ver si podemos listar todos los users almacenados, encontrando acto seguido el adecuado:

‘ or ‘a’ = ‘a —

SQLIpayload.PNG

Como vemos en la imagen inferior obtenemos todos los usuarios registrados y guardados en la base de datos:

SQLIexploited.PNG

Esto es todo 😀 nos vemos en el siguiente nivel. Ciao!

 

Deja un comentario