Laboratorio: Exploiting NoSQL injection to extract data
PreviousLaboratorio: Exploiting NoSQL operator injection to bypass authenticationNextLaboratorio: Exploiting NoSQL operator injection to extract unknown fields
Last updated
Last updated
El endpoint: GET /user/lookup?user=administrator
Eso es parte de la doc de web academy, sin embargo así no me funcionado, me devuelve
"could not find user"
Puede ser modificar la consulta, ya ví que la forma de que se acepte la inyección es codificando && a URL y lo demás normal.
Esto nos deja claro que la longitud de la password del user admin es de 8, por qué? porque basicamente el < 8 no va a abarcar 8 sino su numero antecesor, pero la longitud si es de 8 porque cuando le damos < 9 si devuelve info y además vemos que la contraseña abarca de 0-7, con lo cual si deja la longitud en 8.
Ahora es cuestión de perfeccionar la inyección para manejarla con turbo intruder.
Un ataque de tipo intruder cluster bomb para iterar en dos payloads diferentes, uno para iterar la posicion de la contraseña de 0-7 y el otro para iterar la posibilidad de caracteres de la password de A-z en lowercase tal como dice la pista.
Ahora la definitiva para encontrar la password es hacer un Grep Match que filtré por los resultados “Could not find user” y los que NO se matcheen con ese filtro son la posición y el caracter que hace parte de la contraseña:
Por ejm la posición #4 del ataque, con el caracter a en la 3era posición. (iré armando la password)
(Hey crack, la contraseña no será la misma así que si piensas que puedes saltarte el lab enhorabuena estas equivocado :n)
Entonces la contraseña es: ynmaydqb , ingresamos como admin:
...
