• Vous devez avoir un compte Portswigger.net et vous y connecter.
• Allez a l'adresse : https://portswigger.net/web-security/de ... ed-objects
• Ouvrez le défi (le lab).
• A ce stade, il est conseillé de définir le target scope, dans [Target] de Burp Suite (voir les tutos précédents)
• Connectez-vous avec les identifiants wiener:peter (dans l'exercice)
• Vous devez alors avoir ceci :
- 1.gif (92.78 KiB) Viewed 119 times
o Allez dans [Proxy] --> [HTTP history] (1,2)
o Vous remarquez "/my-account?id=wiener" (3). Cliquez-droit dessus, et dans le menu déroulant, choisissez [Send to Repeater]
o Vous avez ceci :
- 2.gif (137.11 KiB) Viewed 119 times
o Dans le [Repeater] (1), vous voyez une zone tout a droite [Inspector] (2). Dans cette zone, cliquez sur la flèche vers le bas de [Request cookies], pour la déplier et voir le cookie en question (3).
o Finalement, cliquez sur la flèche vers la droite, a cote du cookie de cette page (4), pour déplier les actions disponibles.
o Vous devez avoir ceci :
- 3.gif (202.17 KiB) Viewed 119 times
o Vous voyez ici le cookie en question (celui de wiener) (1).
o Ainsi que le cookie décodé de Base64 (2), et finalement, après "admin", il y a marqué "b:0", ce qui correspond a "boolean:false". C'est cette valeur la qui nous intéresse.
o Ensuite :
- 4.gif (129.12 KiB) Viewed 119 times
o Modifiez le "1" (1), à la fin, a cote du "b:" (1).
o Validez la modification du cookie en cliquant sur [Apply changes] (2).
o Modifiez la requête GET, en la faisant pointer sur "/admin" (3).
o Enfin, cliquez sur {Send] (4), pour vérifier s’il n'y a pas d'erreurs en envoyant la nouvelle page web au serveur.
o On obtient cela :
- 5.gif (104.5 KiB) Viewed 119 times
o Voilà, le serveur répond avec "200 OK". C'est parfait, nous avons réussi à dire au serveur que le compte "wiener" est administrateur (pas totalement, mais au moins pour chopper quelques infos...) !
o Il ne reste plus qu'à envoyer la page modifiée par le biais du browser Burp, pour pouvoir accéder à l'interface Admin et trouver comment supprimer le compte "carlos" :
- 6.gif (190.48 KiB) Viewed 119 times
o (1) : cliquez ici pour accéder au menu déroulant,
o (2) : choisissez [Request in browser] --> [In original session]
o Dans la boite de dialogue suivante, cliquez sur [Copy], pour copier l'adresse générer par Burp dans le presse-papier.
o Il reste plus qu'a le copier dans la barre d'adresse du browser Burp, et aller à l'adresse... :
- 7.gif (161.46 KiB) Viewed 119 times
o Cela vous mène à l'adresse de l'interface Admin, pour supprimer les comptes. Remarquez qu'à côté du nom de "carlos" il y a un lien :
- 8.gif (46.03 KiB) Viewed 119 times
o Retrouvez ce lien dans la page authentifiée (la réponse) (dans Burp) :
- 9.gif (78.37 KiB) Viewed 119 times
o Il suffit maintenant, de marquer ce lien, dans la page et envoyer la requête (dans Burp Suite) :
- 10.gif (75.01 KiB) Viewed 119 times
o On obtient alors l'erreur suivante (3) :
- 11.gif (64.26 KiB) Viewed 119 times
o Mais, de suite, la page web du lab est résolue (4) !