*1.过于信任客户端控件*

*1.1 达成目标*

用wiener买一件Lightweight l33t leather jacket。

提供的账户:wiener/peter

*1.2攻击步骤*

第一步,登录wienr,并且来到主界面,发现Lightweight l33t leather jacket要$1337,而我们只有$100。

由此可见,我们需要更改其价格来进行购买。

第二步,来到商品详情界面,添加到购物车。

burpsuite官方靶场之逻辑漏洞篇_持久性

第三步,对加入购物车进行抓包,发现如下数据包。

尝试更改其price的参数值。然后发送到浏览器。

burpsuite官方靶场之逻辑漏洞篇_web安全_02

*2.高等级的逻辑缺陷*

*2.1 达成目标*

登录提供的账户,然后购买"Lightweight l33t leather jacket"。提供的账户如下:

wiener/peter

*2.2 攻击步骤*

第一步,来到该在线的购物商场,让自己保持登录的状态,然后进入Lightweight “l33t” Leather Jacket的详情页面。

burpsuite官方靶场之逻辑漏洞篇_逻辑漏洞_03

第二步,把该商品添加到账户的购物车,并对此进行抓包。在quantity这里传递一个负数值。

burpsuite官方靶场之逻辑漏洞篇_逻辑漏洞_04

burpsuite官方靶场之逻辑漏洞篇_逻辑漏洞_05

但是我们进行结算的时候,发现是不允许负数结算的。

burpsuite官方靶场之逻辑漏洞篇_web安全_06

第三步,调整一下策略,我们需要购买一件目标商品,然后再购买大量负数的商品,以保证总价格在100以下

burpsuite官方靶场之逻辑漏洞篇_web安全_07

*3.矛盾的安全控制*

*3.1 达成目标*

该实验存在其逻辑缺陷——任意用户访问只对公司员工可用的功能。为了解决该实验,访问管理面板删除员工carlos。

*3.2 攻击步骤*

进入该靶场,发现右上角划线有个账户和注册的功能。

burpsuite官方靶场之逻辑漏洞篇_逻辑缺陷_08

点击账户就跳转到了登录界面,但是我们并没有账户,因此注册一个账户。

burpsuite官方靶场之逻辑漏洞篇_逻辑漏洞_09

邮箱填写Email client所给的邮箱

burpsuite官方靶场之逻辑漏洞篇_逻辑缺陷_10

burpsuite官方靶场之逻辑漏洞篇_逻辑缺陷_11

跳转到Email client,也就是攻击者自己的邮箱点击注册链接完成注册,然后使用才注册好的邮箱进行登录

burpsuite官方靶场之逻辑漏洞篇_渗透测试_12

登录完成后跳转到My Account页面,输入该公司内部邮箱来更新其邮箱。

burpsuite官方靶场之逻辑漏洞篇_逻辑漏洞_13

更新了邮箱之后,来到其admin panel删除carlos账户。

burpsuite官方靶场之逻辑漏洞篇_web安全_14

burpsuite官方靶场之逻辑漏洞篇_持久性_15

*4.有缺陷的商业规则实施*

*4.1 达成目标*

这个实验室在购买流程有逻辑缺陷,为了解决这个实验,利用缺陷购买"Lightweight l33t leather jacket"。

该实验提供如下账户:

wiener/peter

*4.2 攻击步骤*

第一步,登录给定的账户,然后观察home页面。

发现在划线部分有优惠券,因此可以产生一定的折扣。

burpsuite官方靶场之逻辑漏洞篇_逻辑缺陷_16

在底部,发现有一个注册订阅按钮,意思是注册定位我们的简报。点击看看。

burpsuite官方靶场之逻辑漏洞篇_逻辑缺陷_17

在输入了自己的电子邮件之后,会给出一个新的优惠券。

burpsuite官方靶场之逻辑漏洞篇_web安全_18

第二步,购买指定的商品,也就是"Lightweight l33t leather jacket",并且使用两个优惠券。

burpsuite官方靶场之逻辑漏洞篇_持久性_19

现在,有个大胆的想法,由于没有其他优惠券了,因此交替重复使用这两张优惠券,看能不能够打骨折。

第三步,获取到了使用两个优惠券的数据包。放置到repeater,进行交替重放。

burpsuite官方靶场之逻辑漏洞篇_渗透测试_20

burpsuite官方靶场之逻辑漏洞篇_web安全_21

burpsuite官方靶场之逻辑漏洞篇_web安全_22

*5.低等级逻辑缺陷*

*5.1 达成目标*

该实验没有充分验证用户输入。你能够利用在购买流程中的逻辑缺陷,以未预料到的价格购买商品。为了解决该实验,需要购买一件"Lightweight l33t leather jacket"。

你能够以指定账户进行登录:wiener/peter

*5.2 攻击步骤*

第一步,使用指定的账户进行登录。然后选中指定的商品进行购买,并且对该购买的流程进行抓包。

burpsuite官方靶场之逻辑漏洞篇_逻辑缺陷_23

burpsuite官方靶场之逻辑漏洞篇_逻辑缺陷_24

第二步,把其数据包放置到intruder功能项,然后设置数量为99

burpsuite官方靶场之逻辑漏洞篇_渗透测试_25

在其payloads这里,设置为Null payloads,并且设置成持续性的发送

burpsuite官方靶场之逻辑漏洞篇_逻辑漏洞_26

资源池这里设置为单线程

burpsuite官方靶场之逻辑漏洞篇_渗透测试_27

回到购物篮,观察其页面,会发现到一定数量之后变成负数。

burpsuite官方靶场之逻辑漏洞篇_逻辑缺陷_28

因此可以推断,当购买数量大到一定程度,其总价会变成负数。那么继续增加其购买数量,负数的总价就会趋近于0,再购买其他的商品,那么价格就在100以内了。

第三步,清空购物车,再次使用intruder进行攻击,不一样的地方在与设置其payload的数量为323。

burpsuite官方靶场之逻辑漏洞篇_持久性_29

然后把购买数量设置成47,并且重放其数据包。

burpsuite官方靶场之逻辑漏洞篇_逻辑缺陷_30

burpsuite官方靶场之逻辑漏洞篇_渗透测试_31

第四步,再购买一些其他的商品,把价格凑到100以内。

burpsuite官方靶场之逻辑漏洞篇_持久性_32

burpsuite官方靶场之逻辑漏洞篇_渗透测试_33

*5.3 一个问题*

为什么在该靶场中,当总价达到一定数量之后,会变成负数呢?

首先,该靶场的总价是一个整数,也就是int,它是用32位2进制表示的有符号的整数,也就是说它的取值范围在(2,147,483,647,-2,147,483,647)。

如果当正数超过这个数值的时候,那么就会回到最小的数值,也就是-2,147,483,64,形成了一个循环。

*6.矛盾的异常输入处理*

*6.1 达成目标*

该实验没有充分验证用户输入,你能利用账户注册进程的逻辑缺陷来访问管理功能。为了解决该实验,访问管理面板并且删除用户carlos。

*6.2 攻击步骤*

观察该页面,发现该实验是和前面的矛盾的安全控制是一样的功能界面。

burpsuite官方靶场之逻辑漏洞篇_持久性_34

第一步,在Burp的target功能中选择画框部分也就是实验室域,然后右键点击该项,选择Engagement tools > discovery content,爬取其隐藏的网站的内容与路径。

burpsuite官方靶场之逻辑漏洞篇_逻辑漏洞_35

点击步骤1运行。

burpsuite官方靶场之逻辑漏洞篇_逻辑缺陷_36

发现了一个admin的路径,显示401。

burpsuite官方靶场之逻辑漏洞篇_持久性_37

从高亮部分可以看出,只有DontWannaCry用户才能访问该路径。

burpsuite官方靶场之逻辑漏洞篇_web安全_38

第二步,利用其注册功能进行注册,并且需要注意的是,其注册的邮箱地址字符超过255个字符,字符长度为259。

burpsuite官方靶场之逻辑漏洞篇_web安全_39

进行登录发现后面的.net被截断了。

burpsuite官方靶场之逻辑漏洞篇_持久性_40

第三步,利用邮箱地址最大长度只有255,超过长度截断的特点进行注册绕过。

burpsuite官方靶场之逻辑漏洞篇_逻辑缺陷_41

该超长的字符被截断后就是aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa@dontwannacry.com.exploit

burpsuite官方靶场之逻辑漏洞篇_持久性_42

burpsuite官方靶场之逻辑漏洞篇_web安全_43

*6.3 补充说明*

字符生成代码如下:

email = ‘@dontwannacry.com.exploit-0ae000d403cdcb3087e34d5301e7005e.exploit-server.net’
origin_email = ‘.exploit-0ae000d403cdcb3087e34d5301e7005e.exploit-server.net’
str = ‘a’

print(len(email))
print(len(origin_email))
count = 239
whilecount > 1:
email = str + email
count -= 1

print(email)
print(len(email))

*7.两用端点的弱隔离*

*7.1 达成目标*

该实验做了一个用户权限等级是基于输入的有缺陷的假设。因此,你能利用这个账户管理特征的逻辑来访问任意用户的账户。为了解决这个实验,访问administrator账户来删除carlos账户。

该实验给了一个指定的账户:wiener/peter

*7.2 攻击步骤*

第一步登录给定的账户,发现有更改密码的功能。

burpsuite官方靶场之逻辑漏洞篇_web安全_44

第二步,对更改密码进行抓包。

burpsuite官方靶场之逻辑漏洞篇_渗透测试_45

burpsuite官方靶场之逻辑漏洞篇_渗透测试_46

第三步,利用修改的密码进行登录。

burpsuite官方靶场之逻辑漏洞篇_逻辑缺陷_47

*8.不充分的工作流程验证*

*8.1 达成目标*

该实验在一系列购买流程的事件序列做了有缺陷的假设。为了解决这个实验,利用这个缺陷购买一件"Lightweight l33t leather jacket"。

你能使用给定的账号进行登录:wiener/peter

*8.2 攻击步骤*

第一步,登录给定的账号。

burpsuite官方靶场之逻辑漏洞篇_渗透测试_48

第二步,购买能负担的商品,并且对其购买的流程进行抓包观察。

发现在该流程中,最后的结算的时候会触发一个/cart/checkout的请求,该请求会跳转请求/cart/order-confirmation?order-confirmed=true,也就是说它会对订单进行确认。

burpsuite官方靶场之逻辑漏洞篇_渗透测试_49

现在有个大胆的想法,在购物篮中添加指定的商品,也就是"Lightweight l33t leather jacket",然后在重放这个订单确认的数据包。

burpsuite官方靶场之逻辑漏洞篇_web安全_50

burpsuite官方靶场之逻辑漏洞篇_web安全_51

burpsuite官方靶场之逻辑漏洞篇_web安全_52

*9.通过有缺陷的状态机绕过身份验证*

*9.1 达成目标*

该实验在登录进程的一系列事件中做了有缺陷的假设。为了解决该实验,利用这个缺陷来绕过实验的身份验证,访问管理接口,来删除用户carlos。

你能登录给定的账户:wiener/peter

*9.2 攻击步骤*

第一步,使用给定的账户进行登录,并抓取相应的数据包。

通过观察发现,当进行登录了之后(也就是第一个数据包);第二个数据包就是获取/role-selector页面;第三个数据包就是选择其角色,当选择完之后;第四个数据包就是跳转到home页面。

burpsuite官方靶场之逻辑漏洞篇_web安全_53

现在有个大胆的想法,既然登录之后会自动请求角色选择页面,然后才是跳转到主界面。那么是否可以直接丢弃中间的角色选择页面,直接请求主界面。

第二步,重新进行登录,然后丢弃/role-selector数据包,直接请求home界面。

操作之后发现,可以直接访问到admin panel

burpsuite官方靶场之逻辑漏洞篇_渗透测试_54

burpsuite官方靶场之逻辑漏洞篇_逻辑漏洞_55

*10.无限金钱逻辑缺陷*

*10.1 达成目标*

该实验在购买流程有逻辑缺陷。为了解决该实验,利用这个缺陷购买一件 “Lightweight l33t leather jacket”。

你能用给定的账户进行登录:wiener/peter

*10.2 攻击步骤*

第一步,使用给定的账户进行登录,并且观察该实验室的页面。

观察Home页面发现,在该页面最下方,有一个注册订阅的按钮,提示可以订阅简报。

burpsuite官方靶场之逻辑漏洞篇_逻辑缺陷_56

订阅之后,显示给了一个优惠券SIGNUP30

burpsuite官方靶场之逻辑漏洞篇_web安全_57

相当于有了一个七折的优惠。

其次,发现在my account页面有一个gift cards的功能模块。

burpsuite官方靶场之逻辑漏洞篇_渗透测试_58

在主界面有对应的gift card商品。

burpsuite官方靶场之逻辑漏洞篇_持久性_59

第二步,尝试利用优惠券来购买gift card商品,看看会发生什么。

当购买了两次之后,发现,会发送一个gift card code给我们,我们把这个代码放在my account的gift cards输入框输入,发现我们的钱包会在100的基础上面多了三元。

burpsuite官方靶场之逻辑漏洞篇_web安全_60

burpsuite官方靶场之逻辑漏洞篇_渗透测试_61

现在,我有了一个大胆的想法,那就是,重复利用其七折优惠券购买gift card商品,达到通过购买的方式让自己的钱变多(我也是第一次见- -)。

话不多说,直接开干,发家致富不是梦。

第三步,把上述的想法,利用burp来实现,上面的这一系列的操作,涉及到了如下的五个数据包。

第一个数据包,把gift card放到购物篮。

第二个数据包,使用7折优惠券。

第三个数据包,进行结算检查。

第四个数据包,订单信息的确认。

第五个数据包,使用第四个数据包给的gift card code进行发家致富。

burpsuite官方靶场之逻辑漏洞篇_web安全_62

现在,我们要把上述的操作自动化,因此就要用到burp设置里面的macro。(在第二篇 authentication vul中的2.3 暴力破解绕过双因素认证也使用过该功能)

1.来到macros功能,创建一个macro,并且进行一系列配置。

burpsuite官方靶场之逻辑漏洞篇_逻辑缺陷_63

burpsuite官方靶场之逻辑漏洞篇_逻辑缺陷_64

burpsuite官方靶场之逻辑漏洞篇_渗透测试_65

burpsuite官方靶场之逻辑漏洞篇_渗透测试_66

burpsuite官方靶场之逻辑漏洞篇_渗透测试_67

2.应用该macro。

burpsuite官方靶场之逻辑漏洞篇_web安全_68

burpsuite官方靶场之逻辑漏洞篇_web安全_69

burpsuite官方靶场之逻辑漏洞篇_渗透测试_70

burpsuite官方靶场之逻辑漏洞篇_web安全_71

第四步,把/my-account的get包发送到intruder,然后利用null payload生成420个数据包。

burpsuite官方靶场之逻辑漏洞篇_逻辑漏洞_72

burpsuite官方靶场之逻辑漏洞篇_渗透测试_73

burpsuite官方靶场之逻辑漏洞篇_逻辑缺陷_74

burpsuite官方靶场之逻辑漏洞篇_web安全_75

burpsuite官方靶场之逻辑漏洞篇_web安全_76

burpsuite官方靶场之逻辑漏洞篇_web安全_77

*11.通过加密绕过认证oracle*

*11.1 达成目标*

该实验存在一个逻辑缺陷,将加密的oracle暴露给用户。为了解决该实验,利用这个缺陷访问管理面板,并且删除carlos用户。

你能使用给定的用户进行登录——wiener/peter

*11.2 攻击步骤*

第一步,来到登录界面,选中Stay logged in进行登录。

burpsuite官方靶场之逻辑漏洞篇_持久性_78

观察其登录的数据包会发现,在其对应的响应包的Set-Cookie header存在一个stay-logged-in参数。也就是说,会多出一个持久性cookie。

burpsuite官方靶场之逻辑漏洞篇_web安全_79

并且在该网站的后续请求会带上该持久性cookie。

burpsuite官方靶场之逻辑漏洞篇_逻辑缺陷_80

第二步,当登陆完成之后,会自动跳转到my account页面。

burpsuite官方靶场之逻辑漏洞篇_逻辑漏洞_81

尝试在该页面的输入框提交异常数据(不符合电子邮件格式)进行观察。该操作涉及到下面图片的两个数据包。

burpsuite官方靶场之逻辑漏洞篇_逻辑缺陷_82

观察第一个数据包发现,在发起更改邮箱的数据包请求的响应中,发现在其Set-Cookie存在notification参数。

burpsuite官方靶场之逻辑漏洞篇_web安全_83

观察第二个数据包,也就是第一个数据包的跳转;第一个数据包在提交了更改邮箱的请求之后,会自动跳转到对自己账户页面的请求;在该请求中,会发现其cookie携带了第一个请求的notification,并且观察其响应包发现了,我们提交的email参数的数据明文值。

burpsuite官方靶场之逻辑漏洞篇_渗透测试_84

因此可以得出,当在自己的账户页面更改其email,并且更改的email是一个异常值的时候,会获取到一个对其异常值加密的notification参数值,并且后续的get /my-account的数据包的响应页面中,解密该参数值。那么我们可以利用这个现成的加解密参数。

第三步,对持久性cookie进行解密。

复制加密数据包里面的持久性cookie。

burpsuite官方靶场之逻辑漏洞篇_web安全_85

把复制的cookie放置到解密数据包,然后查看其明文,发现其持久cookie的构成是——username:timestamp。

burpsuite官方靶场之逻辑漏洞篇_持久性_86

第四步,现在我有个大胆的想法,那就是构造一个管理员的持久性cookie。

# 伪造的管理员的持久性cookie

administrator:1697360707193

# 使用加密数据包对该明文构造的持久性cookie进行加密处理

7Ts30260HSz4jyVcSgzP%2baCtPFfWQrtnwwbYuFUxm9Q3b4cy%2bAgKmWpEIRjGVZD4maP7mX8NG%2f8NKMtSuXXxCA%3d%3d

利用加密数据包请求其明文持久性cookie的密文。

burpsuite官方靶场之逻辑漏洞篇_逻辑漏洞_87

然后复制改密文,放置到解密数据包对此进行解密。

burpsuite官方靶场之逻辑漏洞篇_逻辑缺陷_88

把该密文放置到浏览器页面中,观察是否能切换到administrator用户。进行尝试之后,并未成功。

burpsuite官方靶场之逻辑漏洞篇_逻辑漏洞_89

第五步,回到这个解密数据包,发现我们构造出来的明文明明是——administrator:1697360707193;但是通过加密再解密出来的明文却是——Invalid email address: administrator:1697360707193 。

burpsuite官方靶场之逻辑漏洞篇_web安全_90

现在还不敢妄下结论,把之前的一个加解密数据的响应包和该响应包的notification进行比对看看。

通过观察发现,只要是自己构造的非法的email参数值,其进行加密解密之后,其明文都会加上一个前缀——"invalid email address: "。

burpsuite官方靶场之逻辑漏洞篇_web安全_91

因此,要对密文做处理,也就是删除其加密的前缀。

把对administrator:1697446306837的加密值转发到Decoder功能板块;对其进行url解码以及base64解码;删除前面的23个字节;然后进行base64编码和url编码。

burpsuite官方靶场之逻辑漏洞篇_逻辑漏洞_92

然后把该值复制到decrypt解密数据包,进行重放攻击。

观察其响应的数据包,发现出现了报错:使用填充密码解密时,输入长度必须是16的倍数。也就是说必须得把它填充成16的倍数。

burpsuite官方靶场之逻辑漏洞篇_逻辑漏洞_93

第六步,对email输入的administrator:1697360707193进行九个字节的填充,也就是xxxxxxxxxadministrator:1697360707193。然后在执行第五步的操作。

burpsuite官方靶场之逻辑漏洞篇_逻辑缺陷_94

这样就成功去掉了前面的"invalid email address: "

burpsuite官方靶场之逻辑漏洞篇_逻辑缺陷_95

第七步,把这一串加密值复制到cookie的stay-logged-in参数里面。

burpsuite官方靶场之逻辑漏洞篇_持久性_96

burpsuite官方靶场之逻辑漏洞篇_web安全_97