Jump to content
  • Hello visitors, welcome to the Hacker World Forum!

    Red Team 1949  (formerly CHT Attack and Defense Team) In this rapidly changing Internet era, we maintain our original intention and create the best community to jointly exchange network technologies. You can obtain hacker attack and defense skills and knowledge in the forum, or you can join our Telegram communication group to discuss and communicate in real time. All kinds of advertisements are prohibited in the forum. Please register as a registered user to check our usage and privacy policy. Thank you for your cooperation.

    TheHackerWorld Official

Owasp juice shop(二) 靶场难度 ⭐

 Share


Recommended Posts

前面一篇文章我们讲述了Owasp juice shop的安装,本文伴随大表哥的脚步一起来闯关吧!本文主要讲述难度一星⭐的通过策略。

912155671.png

Bonus Payload(有效载荷)

描述:在 DOM XSS 挑战中使用奖励支付load。
payload:复制代码到搜索框中即可。

<iframe width="100%" height="166" scrolling="no" frameborder="no" allow="autoplay" src="https://w.soundcloud.com/player/?url=https%3A//api.soundcloud.com/tracks/771984076&color=%23ff5500&auto_play=true&hide_related=false&show_comments=true&show_user=true&show_reposts=false&show_teaser=true"></iframe>

873521052.png

DOM XSS

描述:基于DOM型的XSS攻击
payload:

<iframe src="javascript:alert(`xss`)">

2675603028.png

机密文件

描述:查阅机密文件
我们点击关于我们,发现有个超链接。点击超链接并在burp中抓包。
4235692897.png

3349995331.png
修改ftp前面的内容。可以看到如下文件信息。
依次点击阅读,这关也就通过了。
1596173694.png

Bully Chatbot

这关就很简单了,意思是和机器人聊天,获得优惠卷,当聊条内容含有code时,机器人会发你优惠卷。
667407355.png

Exposed Metrics

描述:找出后端服务使用常见监测软件获得的服务器数据
通过访问官网中的文档可查阅到默认的后端入口地址(localhost:3000/metrics)。

Missing Encoding

描述:检索Bjoern猫"乱斗模式"的照片。
点击照片墙,发现一个图片没有加载出来,对图片审查元素发现图片的url为<img _ngcontent-utp-c241="" class="image" src="assets/public/images/uploads/?-#zatschi-#whoneedsfourlegs-1572600969477.jpg" alt="? #zatschi #whoneedsfourlegs">
这里图片没有被解析出来,因为URL中包含了特殊的符合需要进行一个转换,就会导致一些异常,这里把url中的 # 改成 %23 即可。

Outdated Allowlist

在js文件中搜索关键词redirect?
2971715726.png
访问url即可。

Repetitive Registration

点击注册页面,审查元素按钮,将disabled="true"删除即可。这时我们只输入用户名,其他为空,便可以直接注册。
2716807369.png

Zero Stars

点击客户反馈页面,对按钮审查元素,去掉disabled="true"
这时我们只需要输入验证码就可以提交了。
356535972.png


版权属于:逍遥子大表哥

本文链接:https://blog.bbskali.cn/3444.html

按照知识共享署名-非商业性使用 4.0 国际协议进行许可,转载引用文章应遵循相同协议。

Link to post
Link to comment
Share on other sites

 Share

discussion group

discussion group

    You don't have permission to chat.
    • Recently Browsing   0 members

      • No registered users viewing this page.
    ×
    ×
    • Create New...