shikata ga nai

Private? There is no such things.

WackoPicko

WackoPickoでCommand Injection(2)

Hello there, もう一度、コマンドインジェクションの検証を。 『password』を入力して実行して。 Burp Suiteでキャッチして。 右クリックで『Send to Repeater』を選択して。 『Go』ボタンを押すと。 Responseエリアの下に『13 millis』と応答時間が表示され…

WackoPickoでCommand Injection(1)

Hello there, 『Login』メニューを選択して。 画像のリンクを選択して。 下記の画面へ到着して。 下記を入力して正常動作を確認してみると。 123 コマンドインジェクションがいけるとおもって。 下記を入力してみると。 レスポンスがなかなか返ってこなくて…

WackoPickoでStored XSS

Hello there, 『Guestbook』メニューを選択して。 スクリプトを記入して。 『Submit』ボタンを押すと。 スクリプトが実行されて。 Stored XSSなので。 再度、『Guestbook』メニューを選択すると表示する際に。 挿入したスクリプトが実行された。 Best regard…

WackoPickoについてまとめてみた

Hello there, ■WackoPickoは以下の機能を備えた Webアプリケーションとして開発されたようで。 認証: 登録ユーザーにパーソナライズされたコンテンツを提供しており。 写真のアップロード: 登録ユーザーが写真をアップロードすると。 他のユーザーがその写…

WackoPickoでXSS

Hello there, 手動でXSSを探してみると。 まずは、検索メニューで下記のスクリプトを挿入して。 <script>alert(1)</script> 簡単に実行され。 『Guestbook』メニューでもName、Commentともに同じように実行でき。 『Home』メニューでは、『Your Uploaded Pics』を選択して。 C…

WackoPickoでLogin

Hello there, 『Login』メニューを選択して。 適当に入力して『login』ボタンを実行すると。 Username:test Password:test 赤い枠でエラーが表示され。 次にシステムエラーを誘ってみることに。 Username:' これでDBの情報とSQL文の一部が見えてきて。 シ…

WackoPickoを構築してみた

Hello there, やられサイトのWachoPickoを。 まずは、Dockerイメージをpullしてきて。 docker pull wurstbrot/wackopicko 次にDocker runして。 docker run --rm -it -p 8080:80 wurstbrot/wackopicko localhostの8080番ポートでアクセスするので。 Burp Sui…

コロナを甘く見るな!ひとりひとりの自覚をもった行動で医療従事者を助けよう。

f:id:ThisIsOne:20200404115457p:plain