PortfolioBug Hunter ProfileGithub

🎻Laboratorio: Manejo inconsistente de entradas excepcionales

  • Vemos que tiene la vista con el directorio visible y disponible desde la url de Register/ la cambiamos por admin/ y vemos que podemos ver el mensaje de que para poder acceder a admin tenemos que loguearnos como user de DontWannaCry, osea que debemos usar el dominio de correo @DontWannaCry.com

  • @dontwannacry.com

Para encontrar ese directorio Admin/ tenemos si o si que manejar tomando el dominio principal en BURP e ir a la pestaña Target>Site Map y ahí escoger el dominio principal darle click derecho para darle a engagement tools y de ahi escoger > Discover content. Eso nos ayudará a encontrar ese subdominio que no conociamos el cual es admin/ , adjunto captura de pantalla como evidencia:

Para este caso en puntual usaremos un correo muy largo, con alrededor de 200 caracteres, este será la causa del desastre, por aqui podemos partir y empezar el ataque, y creamos ese user lo enviamos junto con la password.

Aqui vemos que tenemos 200 caracteres de longitud, esto es todo lo que necesitamos, ahora vamos a testear este y verlo en el email client.

Rectificamos el correo para poder ingresar en la cuenta.

Ya sabemos que para poder ingresar a admin/ tenemos que estar dentro del dominio de correos de @dontwannacry.com

Truncó la longitud de mis caracteres totales de nombre de correo que era de 200 strings, a 255 strings.

Con esto nos queda claro que debemos crear el correo con la length que se ajuste a los 255 strings para que lo tome la aplicación.

Salimos de esa cuenta creada y vamos a crear ahora si la cuenta que usaremos para acceder a admin/ en este caso pruebalab lo repetiremos tantas veces como sea necesario hasta lograr tomar los 255 caracteres contando con el dominio de @dontwannacry.com

¿Por qué le añadimos nombre_correo+@dontwannacry.com.dominioServerExploit?

IMPORTANTE ⚠️

Porque basicamente si analizamos la imagen de más arriba que mostré sobre que trunca los 200 caracteres a 255, ahi vemos que elimina por completo el dominio de correo “@exploit-0a0f00ad03547c1081591bd401950084.exploit-server.net” y solo queda el nombre_correo, lo que significa que si registramos con los 255 caracteres solo nombre de user + @dontwannacry.com por ende solo nos tomara en cuenta ello y el dominio de correo lo borrará por completo así que tendremos el correo tal cual como lo queremos teniendo claramente permiso de administrador.

Aqui ingresamos al enlace para rectificar el correo e ingresar.

  • username=pruebaaaaa

  • password=admin123

Aquí esta la prueba de lo que me refería de los 200-255 caracteres, tomó finalmente el dominio valido, lo demás a tomar x Qlo

Aqui la cagamos solo por dos caracteres, toca borrar 2 para poder completar los 255.

Ahora lo enviamos así para ver, eliminamos 2 caracteres.

Ahora ya que hicimos parte del nombre del correo + el dominio de wannacry.com el total de 255 caracteres. ahora si podemos enviarlo y ver como satisfactoriamente obtuvimos solo el correo dontwannacry y no el de exploit-server…

Ya podemos ir al subdirectorio admin panel y eliminar a carlos (el famoso carlos que me atormenta en todos los laboratorios 💀)

Eso es todo, si llegaste hasta aquí gracias por leerme amistá, desde cali oís, bueno pues la buena!

PreviousLaboratorio: Vulnerabilidad falla lógica de bajo nivelNextLaboratorio: Inconsistent security controls

Last updated