靶場內容

本實驗未充分驗證使用者輸入。您可以利用其帳戶註冊過程中的邏輯缺陷來訪問管理功能。要解決實驗室問題，請訪問管理面板並刪除 Carlos。

漏洞分析：

• 通過 Burp 代理流量時，開啟實驗室並轉到 "Target" > "Site map"選項卡。右鍵單擊靶場的域名並選擇"Engagement tools" > "Discover content"以開啟內容發現掃描工具。
• 單擊"Session is not running"來啟動掃描。
• 3分鐘左右的時間後，檢視對話方塊中的"Site map" 選項卡。請注意，它發現了路徑/admin。
• 嘗試用瀏覽器開啟 /admin. 顯示你無權訪問，並返回錯誤訊息：Admin interface only available if logged in as a DontWannaCry user 。
• 表明DontWannaCry使用者有訪問權。
• 進入賬戶註冊頁面。
• 註冊使用者名稱隨意。
• 從靶場上面的按鈕，開啟電子郵件客戶端。記下電子郵件伺服器域名中的 ID ( @YOUR-EMAIL-ID.web-security-academy.net)。
• 返回實驗室並使用以下格式的超長電子郵件地址進行註冊：
• very-long-string@YOUR-EMAIL-ID.web-security-academy.net
• 該地址very-long-string應至少為 200 個字元長。
• 轉到電子郵件客戶端並注意您已收到確認電子郵件。
• 單擊連結以完成註冊過程。
• 登入並轉到“my account”頁面。請注意，您的電子郵件地址已被截斷為 255
  個字元。
• 登出並返回到帳戶註冊頁面。
• 使用另一個長電子郵件地址註冊一個新帳戶，但這次dontwannacry.com在您的電子郵件地址中包括作為子域，如下所示：very-long-string@dontwannacry.com.YOUR-EMAIL-ID.web-security-academy.net
• 確保very-long-string字元數正確，確保到@dontwannacry.com最後一個m的字元數為255
• 轉到電子郵件客戶端，然後單擊您收到的確認電子郵件中的連結。
• 登入到您的新帳戶並注意您現在可以訪問管理面板。
• 確認電子郵件已成功傳送到您的電子郵件客戶端，但應用程式伺服器將與您的帳戶關聯的地址截斷為 255 個字元。[email protected]地址就成了你的地址了。您可以從“我的帳戶”頁面確認這一點。
• 轉到管理面板並刪除 Carlos 以解決
• 這個漏洞也是屬於一個邏輯漏洞，因為255個字元長度的限制，導致讀取郵箱時，誤以為是高許可權使用者在註冊，於是賦予了這個使用者高許可權

關鍵截圖：

本文來自部落格園，作者：{Zeker62}，轉載請註明原文連結：https://www.cnblogs.com/Zeker62/p/15167706.html