OWASP安全练习靶场juice shop-更新中_owasp靶场

Juice Shop是用Node.js，Express和Angular编写的。这是第一个 完全用 JavaScript 编写的应用程序，列在 OWASP VWA 目录中。

该应用程序包含大量不同的黑客挑战 用户应该利用底层的困难 漏洞。黑客攻击进度在记分板上跟踪。 找到这个记分牌实际上是（简单的）挑战之一！

除了黑客和意识培训用例外，渗透测试 代理或安全扫描程序可以将 Juice Shop 用作“几内亚” pig“-应用程序来检查他们的工具如何应对 JavaScript 密集型应用程序前端和 REST API。

部署

docker pull bkimminich/juice-shop

docker run --rm -p 3000:3000 bkimminich/juice-shop

需要挖掘的漏洞内容 寻找记分牌 ：： Pwning OWASP Juice Shop (owasp-juice.shop)

访问ip:3000，打开后先注册一个用户，否则功能无法操作。 

前记：

这个靶场的难点在于，只给出问题，范围在整个系统，需要去找题的答案在哪个功能上。

injection

Login Admin

题目要求通过SQL注入找到admin的账号密码。

在登录页面，输入单引号' 随便输入密码，点击login

发现报错显示了SQL语句，说明email输入框存在SQL注入漏洞。

可以闭合单引号采用or注入。账号输入框输入' or '1'='1' -- 密码随便输入点击login 提示成功

可以看到admin的邮箱为  admin@juice-sh.op

参考答案：

Login Bender

Log in with Bender’s user account. 题目要求使用Bender登录

账号：bender@juice-sh.op'--  密码随便输入，登录解决。

 

Broken Authentication 身份验证中断

 Bjoern's Favorite Pet ⭐⭐⭐

Reset the password of Bjoern's OWASP account via the Forgot Password mechanism with the original answer to his security question

通过忘记密码机制重置 Bjoern 的 OWASP 帐户的密码

Authorization - OWASP Cheat Sheet Series

Change Bender’s password into slurmCl4ssic without using SQL Injection or Forgot Password ⭐⭐ ⭐ ⭐ 

要求不使用SQL注入或者忘记密码，来重置bender的密码。

解决：先使用SQL注入 登录bender bender@juice-sh.op'-- 

获得Authorization ，然后请求重置密码链接，在header中使用bender的Authorization

login with Chris' erased user account ⭐⭐⭐

使用 Chris 已抹掉的用户帐户登录
此挑战是关于使用以下用户的帐户登录： 此前坚持自己的“被遗忘权”，根据 GDPR 第 17 条。

尝试“请求数据擦除”功能可能是 有趣，但无法帮助您实时解决这一挑战。

如果您已经解决了通过 SQL 注入检索所有用户凭据列表的挑战，您可能已经检索到有关 Juice 如何 商店会根据用户的请求“删除”用户。

果汁店在这里的所作所为完全不符合GDPR。 幸运的是，对 4 美元的总收入处以 0% 的罚款仍然是 0 美元。

可以使用SQL注入解决，问题是需要知道email 应该跟其他题有关联

chris.pike@juice-sh.op'--

Log in with Bjoern’s Gmail account⭐⭐⭐⭐

要求 使用 Bjoern 的 Gmail 帐户登录，而无需事先更改他的密码、应用 SQL 注入或入侵他的 Google 帐户

这个题需要看源码解决

采用oauth集成google账户，发现password的算法

1. 从n.email中获取电子邮件地址。
2. 将该电子邮件地址的字符反转（例如，"abc"变成"cba"）。
3. 使用btoa函数将反转后的字符串编码为Base64。

电子邮件为如下，反转，然后编码得到密码，登录解决 

 bjoern.kimminich@googlemail.com

bW9jLmxpYW1nQGhjaW5pbW1pay5ucmVvamI= 

Password Strength ⭐⭐

要求登录admin账号，但不使用SQL注入。需要使用暴力破解。

前提：先做injection中的login admin找到邮箱，然后爆破密码。

答案为 admin@juice-sh.op admin123 使用账号密码登录解决。

solution 提示可以猜测，如果已知admin的密码hash，可以攻击。如果使用了hacker工具可以爆破。

Reset Bender’s Password ⭐ ⭐⭐⭐

要求重置bender的密码，安全问题为成年后第一次工作的公司

这一题需要在社交网站找到答案

bender@juice-sh.op   Stop'n'Drop 输入安全问题答案提交解决。

Reset Bjoern’s Password⭐ ⭐⭐⭐⭐

要求重置Bjoern的密码，安全问题可真多，需要的是信息挖掘能力。

bjoern@juice-sh.op  West-2082

Reset Jim’s Password⭐ ⭐⭐

要求重置jim的密码  答案为Samuel 看不懂solution从哪挖的信息

--Two Factor Authentication⭐ ⭐⭐⭐⭐

Broken Access Control 访问控制中断

Admin Section

前置：完成Improper Input Validation-Admin Registration，即已注册一个admin账号。

题目要求访问商店的管理员部分。

1、查看源码main.js 搜索admin，直接用普通用户访问会提示403.

2、使用admin账号登录，访问路径，解决。 

http://10.100.33.10:3000/#/administration

总结：查看源码，有惊喜。

Five-Star Feedback

Get rid of all 5-star customer feedback. 要求删除所有5星评价客户的评价。 需要先解决admin section，用admin登录，访问administration路由，删除5星评价解决。

Forged Feedback

要求用其他用户的username提交评价。

抓包，修改connect发送未解决。随便修改一下userId，解决。

Forged Review ⭐ ⭐⭐

Post a product review as another user or edit any user’s existing review.

要求以其他用户身份发布产品评论或编辑任何用户的现有评论

不登录，评论，即解决此题。因为不登录，用户为匿名的，不应该可以发表评论。 

实际只要抓取评论的请求修改author，重新发送请求即可。

 View Basket ⭐ ⭐

要求查看其他人的购物车

解决：抓包，修改id为7请求解决，这个题像不安全对象引用。

答案给的方法是修改session里的bid后刷新

Zero Stars

要求给商店做零星评价，选择左侧contact模块的customer feedback功能，发现页面只能选择1-5

解决：抓包，篡改请求设置rating为0 后发送，绕过UI

Web3 沙盒 ⭐

找到一个意外部署的代码沙箱，用于动态编写智能合约。

在前端源码main.js找到一个path web3-sandbox，访问http://10.100.33.10:3000/#/web3-sandbox

解决 

CSRF ⭐ ⭐⭐

Change the name of a user by performing Cross-Site Request Forgery from another origin.

题目要求通过CSRF的方式从其他域修改用户账号名

<form action="http://localhost:3000/profile" method="POST">
  <input name="username" value="CSRF"/>
  <input type="submit"/>
</form>
<script>document.forms[0].submit();</script>

因为samesite设置是none，所以可以从其他域请求网站 

在实际的攻击场景中，攻击者会试图欺骗 合法用户打开攻击者控制的网站。如果 受害人同时登录目标网站，请求 由步骤 3 中的恶意表单生成的 - 通过身份验证 受害者的会话。攻击者还可以选择隐藏 自动发出请求，例如将其嵌入到内联中 高度和宽度为零的框架。

我这里写到本地html文件，用浏览器打开，发现被屏蔽了

Manipulate Basket ⭐ ⭐⭐

Put an additional product into another user’s shopping basket.

题目要求把产品添加到其他用户购物车

提交购物车，抓包，修改basketId发现报错basketId无效。

solution：

HTTP参数污染，payload里再添加一个basketId参数

{"ProductId": 14,"BasketId": "1","quantity": 1,"BasketId": "2"} 

 HTTP参数污染

XSS

API-only XSS ⭐ ⭐⭐

Perform a persisted XSS attack with )">` without using the frontend application at all.<iframe src="javascript:alert(`xss

DOM XSS 

在搜索框输入  <iframe src="javascript:alert(`xss`)">回车，会显示一个alert

不合适的输入验证

Bonus Payload 

商品搜索框输入如下代码回车成功

<iframe width="100%" height="166" scrolling="no" frameborder="no" allow="autoplay" src="https://w.soundcloud.com/player/?url=https%3A//api.soundcloud.com/tracks/771984076&color=%23ff5500&auto_play=true&hide_related=false&show_comments=true&show_user=true&show_reposts=false&show_teaser=true"></iframe>

Improper Input Validation 

Admin Registration ⭐⭐⭐

题目要求注册为管理员权限的用户。

提交body  {"email":"admin","password":"admin","role":"admin"}

--空用户注册 ⭐⭐

使用空电子邮件和密码注册用户。

优惠券已过期 ⭐⭐⭐⭐

成功兑换过期的活动优惠券代码。

除了在 Twitter 上找到的每月优惠券代码外，Juice Shop 还 至少提供过一次季节性特别活动。

• 在某处寻找有关过去活动或假日活动的线索 应用程序

• 解决这一挑战并不需要实际的时间旅行

打开源码，搜索campaigns找到coupon，将商品加入购物车下单，输入coupon值，会提示invalid

1. 根据你阅读本书的时间， 其中一个或多个可能已过期。让我们继续最古老的 可用的一个，即 .this.campaignsWMNSDY2019

2. 在缩小的代码中，您会注意到一个函数，该函数使用 包含优惠券的时间戳。applyCoupon()this.campaignsvalidOn

3. 忽略有效性检查，只提交遗嘱 正如您所料，产生错误。这是 因为断言的第二部分.WMNSDY2019Invalid Coupon.this.clientDate === e.validOn

4. 将优惠券转换为 JavaScript 日期会告诉您此活动在 3 月处于活动状态 仅限 2019 年 8 日：妇女节！validOn: 15519996e5WMNSDY2019

转换为javascript时间

let milliseconds = 15519996 * 10**5; let date = new Date(milliseconds); console.log(date);

将计算机的时间设置为 2019 年 3 月 8 日，并尝试提交 再次编码。

这次会被接受！继续结帐以获取 挑战解决了 输入coupon为WMNSDY2019

 这一题的问题在于，验证有效期，应该用服务端时间，而不是客户端时间，因为客户端时间是可以更改的。

#薄荷蜜罐 ⭐⭐⭐

通过从蜜蜂天堂收集 BEE 来铸造 Honey Pot NFT。

Missing Encoding⭐

photo-wall有一个小猫图片未显示，查看元素，可以看到src地址，在新标签页打开，

发现传给服务器的url变为如下，导致图片未显示。因为#号被浏览器解释了are interpreted by your browser as HTML anchors 所以需要将#编码为%23 即可显示图片

http://10.100.33.10:3000/assets/public/images/uploads/%F0%9F%98%BC-

Payback Time  ⭐⭐⭐

下订单，让你变得富有。

这可能是每个网店的噩梦，客户可能会想receive money，而不是支付购买费用。

• 你真的需要让商店欠你任何钱

• 仔细调查购物篮，了解它如何防止 您从创建可以满足挑战的订单中

 使用firedox浏览器可以抓取请求，编辑重发，抓取下订单请求，修改数量为负值，发送，然后付款。可以看到付款的值为负值。

这一题是由于后端没有对输入的商品数量做校验，而只在前端做了校验。

Poison Null Byte ⭐⭐⭐

Bypass a security control with a Poison Null Byte to access a file not meant for your eyes.

"Poison Null Byte" 是一个与网络安全相关的术语。在网络安全领域，特权提升攻击（Privilege Escalation Attack）是一种攻击手段，其中攻击者试图获取比他们当前权限更高的权限。在某些情况下，攻击者可能会尝试利用某些软件或协议中的漏洞，通过插入特殊字符（如NULL字节）来操纵程序的行为，从而执行恶意代码或获得更高的权限。

"Poison Null Byte" 这个术语通常是指攻击者利用NULL字节作为攻击的一部分，通过插入NULL字节来操纵程序的行为。例如，在某些编程语言中，字符串是以NULL字节结束的。攻击者可能会尝试在字符串中插入一个NULL字节，以尝试操纵程序的行为或执行恶意代码。

为了防止这种攻击，开发人员应该确保他们的软件和协议能够正确处理NULL字节和其他特殊字符，并采取其他安全措施来防止特权提升攻击。

Repetitive Registration ⭐

题目要求注册用户时不用输入验证密码

解决：抓包，修改passwordRepeat为空提交。

Upload Type ⭐⭐⭐

要求上传非pdf和zip的文件

抓接口，通过接口上传非zip文件

题目是因为没有在上传文件的接口限制上传的文件类型 

上传大于 100 kB 的文件 ⭐⭐⭐

Zero Stars ⭐

Give a devastating zero-star feedback to the store.

您可能已经意识到无法提交客户 在“联系我们”屏幕上提供反馈，直到您输入评论和 从 1 到 5 中选择星级。这个挑战是关于欺骗 申请接受 0 星的反馈。

 

在customer feedback中抓取提交反馈的请求，然后修改rating为0，提交成功。

这一题同样是由于未进行后端校验，导致提交rating不符合设计。 

豪华欺诈 ⭐⭐⭐

无需付费即可获得豪华会员资格，修改continue元素删除diabled属性，然后发送请求。

 

 提示wallet钱不够，抓包，修改请求为空字符串，使后端不知道从哪里扣钱。

Broken Anti-Automation 反自动化失败

 Web applications are subjected to unwanted automated usage — day in, day out. Often these events relate to misuse of inherent valid functionality, rather than the attempted exploitation of unmitigated vulnerabilities. Also, excessive misuse is commonly mistakenly reported as application denial-of-service (DoS) like HTTP-flooding, when in fact the DoS is a side-effect instead of the primary intent. Frequently these have sector-specific names. Most of these problems seen regularly by web application owners are not listed in any OWASP Top Ten or other top issue list. Furthermore, they are not enumerated or defined adequately in existing dictionaries. These factors have contributed to inadequate visibility, and an inconsistency in naming such threats, with a consequent lack of clarity in attempts to address the issues. [1]

web应用易受到意想不到的自动化程序干扰，这些事件通常与固有无效组件错误使用有关。过度的错误使用通常会被错误的通报为DOS如HTTP-flooding，实际上DOS是副作用，而不是程序原始意图。通常这些问题没有被列在owasp top10或者其他top问题的列表。此外，它们没有被枚举 或在现有词典中充分定义。这些因素具有 导致能见度不足，命名不一致 这些威胁，因此在解决这些威胁方面缺乏明确性 问题

CAPTCHA 绕过 ⭐⭐⭐

在 20 秒内提交 10 个或更多客户反馈。

将接口放入jmeter中，循环10次。运行，完成挑战。

 

这个问题的bug在于不应该能够使用同一个验证码多次请求。 

额外语言 ⭐⭐⭐⭐⭐

检索从未进入生产环境的语言文件。意思是有一种语言，juiceshop是支持的，但是页面隐藏了它。

通过调查 Juice 支持哪些语言来挑战 商店以及如何管理翻译。 这将很快将您带到 OWASP Juice Shop dashboard in Crowdin 立即 剧透克林贡语作为受支持的语言。将鼠标悬停在 相应的标志最终会剧透语言代码。tlh_AA

请求 http://localhost:3000/i18n/tlh_AA.json 解决 挑战

多个赞 ⭐⭐⭐⭐⭐⭐

题目要求对同一个评论进行至少三次点赞。

找到一个商品，进行评论，然后点赞，发现点赞一次后，赞图标置灰，无法再次点赞。

抓取点赞接口，发现载荷会带一个id，这个id是评论的时候返回的。

直接评论，获取到id，然后使用jmeter 设置线程数为3，注意需要设置同步定时器为3，即同时进行请求，运行，挑战通过。

 

A race condition or race hazard is the behavior of an electronics, software, or other system where the output is dependent on the sequence or timing of other uncontrollable events. It becomes a bug when events do not happen in the order the programmer intended 

重置 Morty 的密码⭐⭐⭐⭐⭐

通过“忘记密码”机制重置莫蒂的密码，并模糊地回答他的安全问题。

此密码重置质询与“身份验证中断”类别中的密码重置质询不同，因为它是下一个 如果不使用蛮力方法就无法解决。

• 找出莫蒂到底是谁，将有助于减少解决方案 空间。

• 你可以假设莫蒂如实回答了他的安全问题 但采用了一些混淆以使其更安全。

• Morty 的回答长度不到 10 个字符，不包括 任何特殊字符。

• 不幸的是，忘记密码？ 受速率限制保护 防止暴力破解的机制。你需要以某种方式击败它。

solution:

试图找出“莫蒂”可能是谁，最终应该会引导你 莫蒂·史密斯（Morty Smith）是最有可能的用户身份