前面一篇文章我们讲述了Owasp juice shop的安装,本文伴随大表哥的脚步一起来闯关吧!本文主要讲述难度一星⭐的通过策略。

Bonus Payload(有效载荷)

描述:在 DOM XSS 挑战中使用奖励支付load。
payload:复制代码到搜索框中即可。

<iframe width="100%" height="166" scrolling="no" frameborder="no" allow="autoplay" src="https://w.soundcloud.com/player/?url=https%3A//api.soundcloud.com/tracks/771984076&color=%23ff5500&auto_play=true&hide_related=false&show_comments=true&show_user=true&show_reposts=false&show_teaser=true"></iframe>

DOM XSS

描述:基于DOM型的XSS攻击
payload:

<iframe src="javascript:alert(`xss`)">

机密文件

描述:查阅机密文件
我们点击关于我们,发现有个超链接。点击超链接并在burp中抓包。


修改ftp前面的内容。可以看到如下文件信息。
依次点击阅读,这关也就通过了。

Bully Chatbot

这关就很简单了,意思是和机器人聊天,获得优惠卷,当聊条内容含有code时,机器人会发你优惠卷。

Exposed Metrics

描述:找出后端服务使用常见监测软件获得的服务器数据
通过访问官网中的文档可查阅到默认的后端入口地址(localhost:3000/metrics)。

Missing Encoding

描述:检索Bjoern猫"乱斗模式"的照片。
点击照片墙,发现一个图片没有加载出来,对图片审查元素发现图片的url为<img _ngcontent-utp-c241="" class="image" src="assets/public/images/uploads/😼-#zatschi-#whoneedsfourlegs-1572600969477.jpg" alt="😼 #zatschi #whoneedsfourlegs">
这里图片没有被解析出来,因为URL中包含了特殊的符合需要进行一个转换,就会导致一些异常,这里把url中的 # 改成 %23 即可。

Outdated Allowlist

在js文件中搜索关键词redirect?

访问url即可。

Repetitive Registration

点击注册页面,审查元素按钮,将disabled="true"删除即可。这时我们只输入用户名,其他为空,便可以直接注册。

Zero Stars

点击客户反馈页面,对按钮审查元素,去掉disabled="true"
这时我们只需要输入验证码就可以提交了。

版权属于:逍遥子大表哥

本文链接:https://blog.bbskali.cn/3444.html

按照知识共享署名-非商业性使用 4.0 国际协议进行许可,转载引用文章应遵循相同协议。

Kali笔记一键关注
Last modification:July 12, 2022
© Allow specification reprint
正在沿街乞讨中……