En este laboratorio veremos como unos controles de seguridad mal implementados pueden llevar a errores en la lógica de negocio de la aplicación conduciendo a posibles vías de explotación.
Last updated
Vamos a estudiar con detalle como podriamos resolver este laboratorio, analizaremos cada parte de burp con las peticiones para saber donde podriamos encontrar una excepción.
Vamos a ver si podemos hacer lo mismo del laboratorio anterior que era añadir las 255 caracteres para omitir lo demás, vamos a ver.
Aqui vamos tomando en cuenta la opción de target>engagement tools>discover content> con el fin de descubrir posibles subdirectorios que tengan alguna relevancia para la resolución de nuestro lab como por ejm: admin, administrador, delete user, etc…
Encontramos uno, que es el subdirectorio admin/ con este ya tenemos la base para determinar que si tenemos la sección de administrator para borrar el user carlos.
Ya tenemos presente que si queremos acceder al panel como admins tenemos que estar logueados como un user que se haya iniciado sesión con el tipo de correo @DontWannaCry
Al parecer no debiamos tomar en cuenta la cantidad total de 255 caracteres para truncar la longitud del correo y borrar el correo legitimo de xploit server, sino más bien desde la misma parte una vez que creamos la cuenta dentro de la ventana aparece la opción de update email, ahí simplemente podemos lograr actualizar el correo a uno cualquiera con dominio dontwannacry, porque resulta que no confirma la actualización de correo, no envía ningún correo de verificación para cambiarlo ya con ello nos dejan el camino libre porque podemos poner cualquier correo en este caso el de dontwannacry y poder acceder el panel administrador para eliminar al user carlos, y esto tal cual fue lo que hicimos.
Ahora ya podemos borrar al user carlos desde la interfaz de Admin Panel>
Definitivamente por las inconsistencias de los controles de seguridad, se relajan la mayoría de paginas cuando crean el primer control de seguridad verificando el correo para la creación de una cuenta de usuario, pero de ahi para adelante ya no se logra nada porque no siguen manteniendo los controles de seguridad tanto que no verifican la actualización de email update email, y en este caso eso fue lo que nos permitió actualizar al dominio dontwannacry y poder entrar a la sesión de Admin, que solo era posible desde una cuenta de user con el dominio de dontwannacry.
Digamos que en este caso podemos ver que el control de seguridad mal implementado está en la forma en que cuando se registra un usuario valida que el dominio sea el pedido pero una vez dentro si se desea actualizar el correo a esa sección no le mantiene los mismos controles rigurosos de seguridad para el correo jaja que gracia así, eso es lo que se aprende de este lab.
