Hello there, ('ω')ノ ストアの管理セクションにアクセスしなさいとのことで。 まずは、キーワードとなるAdministrationの記述を探すことに。 なにやら、pathとしてあるようで。 さっそく、下記のようにadministrationのパスを指定すると。 403の閲覧禁止の…

Hello there, ('ω')ノ 他人のバスケットを覗きなさいとのことで。 以前、登録したユーザでログインして。 user@mail.com password 適当にバスケットに追加して、バスケットの中身を確認して。 ストレージの中身を確認するとデータの内容が合致しているものが…

Hello there, ('ω')ノ 前回、SQLインジェクションでログインに成功した後で。 アカウント情報を見ることに。 すると、メールアドレスから管理者らしく。 一旦、ログアウトして下記でログインすることに。 admin@juice-sh.op 12345 Burp Suiteでリクエストを…

Hello there, ('ω')ノ とりあえずは、レベル２へ。 管理者のユーザアカウントでログインといっても困ってしまって。 インジェクションの文字も見えるので。 ログインページで、ベタなインジェクションを。 パスワードは適当に入れて実行すると。 クリアでき…

Hello there, ('ω')ノ まだ、レベル１でBonus Payloadが残っていたので。 下記をコピーして、検索エリアに貼り付けて実行すると。

Hello there, ('ω')ノ Repetitive Registration（繰り返し登録）について。 ユーザ登録する際、DRYの原則に従ってくださいとのこと。 DRYは、Don't repeat yourself（繰り返しを避けること）の頭文字のことで。 DRYの原則によるとコーディング中のコードの繰…

Hello there, ('ω')ノ プライバシーポリシーを読みなさいとのことで。 どこにも見当たらないので。 とりあえず、ユーザ登録をして。 登録した下記のメールアドレスとパスワードを入力して。 user@mail.com／password Privacy Policyというメニューがあったの…

Hello there, ('ω')ノ 古いホワイトリストだとか。 暗号通貨アドレスにリダイレクトするらしく。 JavaScriptのソースコードからredirectの文字を検索すると。 それらしいURLが見当たって。 直接URLを閲覧してもクリアできず。 下記のようにリダイレクトさせ…

Hello there, ('ω')ノ 今回は、公開されたメトリックを。 モニタリングシステムで収集される使用状況データを提供するエンドポイントだとか。 リンクをクリックすると。 文章を読んでヒントを探るのでけっこう面倒で。 とりあえず、片っ端からリンクもたどっ…

Hello there, ('ω')ノ 左側だけ正常に画像が表示されていないようで、ソースコードを確認してみると。 一方、正常に画像が表示されているほうは。 #(ハッシュタグ)のエンコードがミスをしているようなので、下記で変換して。 https://tech-unlimited.com/url…

Hello there, ('ω')ノ 前回、いつの間にかクリアとなっていたError Handlingを。 セキュリティの構成ミスによるエラー処理の脆弱性とのことだが。 各所に見受けられそうで。 まずは、適当に商品を選んで。 Burp SuiteのRepeater機能をつかって。 実行すると…

Hello there, ('ω')ノ 今回は、レベル１なのに苦戦してしまって。 下記のように利用規約をチェックせよとあって、ダウンロードしても何も得られず。 文面の内容からして怪しくて。 Check out our boring terms of use if you are interested in such lame st…

Hello there, ('ω')ノ この暑さで、熱中症ぎみで体調が二週間ほど悪いので簡単にできそうなものから。 最後の計算以外は適当に入力してから実行して。 Burp Suiteでリクエスト内容を確認してratingを0に変更して。 無事にクリアできた。 Best regards, (^^ゞ

Hello there, ('ω')ノ Juice Shopの使い方がわかってきたところで、まずは簡単なところから。 Searchエリアに下記をコピーして。 <iframe src="javascript:alert(`xss`)"> スクリプトが実行された。 スコアボードを確認すると更新されていた。 Best regards, (^^ゞ</iframe>

Hello there, ('ω')ノ Juice Shopを起動したものの何からやってよいのやら。 まずは、メニューにあるHelp getting startedを見てみることに。 なにやらヒントらしきものが。 まずは、JavaScriptからスコアボードを表示させなければとのことで。 JavaScript内…

Hello there, ('ω')ノ OWASP Juice ShopはBWAには含まれておらず。 はじめは、node.jpをインストールしてとおもっていたのですが面倒で。 やってみてもエラーが出たりとなかなかすすまず時間の無駄なので。 Kali LinuxにDockerをインストールして使用するこ…