Using Web Proxies

Target(s): 94.237.56.224:34018

En el enunciado nos dicen que estamos realizando pruebas de pentesting internas sobre las aplicaciones web de una empresa. Estaremos ante situaciones en las que Burp/ZAP pueden resultar útiles. Hay que determinar las funciones que serían más útiles para cada caso.

Pregunta 1: La página /lucky.php tiene un botón que parece estar desactivado. Intenta activar el botón y, a continuación, haz clic en él para obtener la flag.

  1. Accedemos al navegador integrado de Burp, accedemos a la URL IP/lucky.php, hacemos forward y con F12 modificamos el valor de disabled a enabled.

  1. Hacemos Forward en Proxy de Burp hasta que nos salga la petición que contiene getflag=true y la mandamos al Repeater.

  1. En el Repeater, la enviamos varias veces, hasta que nos aparezca la flag en la respuesta.

Pregunta 2: La página /admin.php utiliza una cookie que ha sido codificada varias veces. Intenta descodificar la cookie hasta obtener un valor de 31 caracteres. Envía el valor como respuesta.

  1. Accedemos a la URL IP/admin.php desde el navegador integrado de Burp y capturamos la petición con la cookie.

  1. Copiamos la cookie y la decodificamos en la pestaña Decode de Burp.

Primero la decodificamos de ASCII hex y después de Base64

Pregunta 3: Una vez que descodifique la cookie, observará que solo tiene 31 carácteres, lo que parece ser un hash md5 al que le falta el último carácter. Por lo tanto, intente fuzzear el último carácter de la cookie md5 descodificada con todos los caracteres alfanuméricos, mientras codifica cada solicitud con los métodos de codificación que ha identificado anteriormente. (Puede utilizar la lista de palabras «alphanum-case.txt» de Seclist para el payload).

  1. Capturamos la petición con la cookie original, la enviamos a Intruder y ponemos el indicador de payload.

  1. Cargamos la wordlist /opt/useful/seclists/Fuzzing/alphanum-case.txt en el Payload Configuration.

  1. Configuramos el procesamiento del payload de la siguiente manera:

  1. Lanzamos el ataque y esperamos a que finalice, debemos ordenar por Response Received y el que sea diferente es el que contendrá la flag.

  1. Hacemos doble click en la petición y vamos a la pestaña Response para buscar la flag.

Pregunta 4: Estás utilizando la herramienta «auxiliary/scanner/http/coldfusion_locale_traversal» dentro de Metasploit, pero no te funciona correctamente. Decides capturar la solicitud enviada por Metasploit para poder verificarla manualmente y repetirla. Una vez capturada la solicitud, ¿cómo se llama el directorio «XXXXX» en «/XXXXX/administrator/..»?

  1. Iniciamos Metasploit y usamos el módulo que se indica en el enunciado.

  1. Configuramos las opciones del módulo, configurando como proxy a Burp.

  1. Ejecutamos el módulo e interceptamos la petición en Burp.

AnteriorCBBH - Skills AssessmentSiguienteInformation Gathering - Web Edition

Última actualización