Juice Shop是用Node.js，Express和Angular編寫的。這是第一個 完全用 JavaScript 編寫的應用程序，列在?OWASP VWA 目錄中。

該應用程序包含大量不同的黑客挑戰(zhàn) 用戶應該利用底層的困難 漏洞。黑客攻擊進度在記分板上跟蹤。 找到這個記分牌實際上是（簡單的）挑戰(zhàn)之一！

除了黑客和意識培訓用例外，滲透測試 代理或安全掃描程序可以將 Juice Shop 用作“幾內(nèi)亞” pig“-應用程序來檢查他們的工具如何應對 JavaScript 密集型應用程序前端和 REST API。

部署

docker pull bkimminich/juice-shop

docker run --rm -p 3000:3000 bkimminich/juice-shop

需要挖掘的漏洞內(nèi)容?尋找記分牌 ：： Pwning OWASP Juice Shop (owasp-juice.shop)

訪問ip:3000，打開后先注冊一個用戶，否則功能無法操作。?

前記：

這個靶場的難點在于，只給出問題，范圍在整個系統(tǒng)，需要去找題的答案在哪個功能上。

查找記分牌

沒有直接給出記分牌頁面，需要找出url。

search的地址為?http://ip:3000/#/search

刷新搜索看到某個接口返回內(nèi)容

?猜測url為?http://ip:3000/#/score-board

訪問后顯示了記分牌頁面

?

?訪問后會顯示成功找到

挑戰(zhàn)通過后，點擊后面的按鈕運行coding challenge，如找到記分牌這個任務(wù)，勾選記分牌相關(guān)的幾行代碼，點擊submit，兩側(cè)會顯示煙花效果，說明通過。

injection

Login Admin

題目要求通過SQL注入找到admin的賬號密碼。

在登錄頁面，輸入單引號' 隨便輸入密碼，點擊login

發(fā)現(xiàn)報錯顯示了SQL語句，說明email輸入框存在SQL注入漏洞。

可以閉合單引號采用or注入。賬號輸入框輸入' or '1'='1' -- 密碼隨便輸入點擊login 提示成功

可以看到admin的郵箱為? admin@juice-sh.op

參考答案：

Login Bender

Log in with Bender’s user account. 題目要求使用Bender登錄

賬號：bender@juice-sh.op'--? 密碼隨便輸入，登錄解決。

?

Broken Access Control

Authorization - OWASP Cheat Sheet Series

Password Strength

要求登錄admin賬號，但不使用SQL注入。需要使用暴力破解。

前提：先做injection中的login admin找到郵箱，然后爆破密碼。

答案為 admin@juice-sh.op admin123 使用賬號密碼登錄解決。

solution 提示可以猜測，如果已知admin的密碼hash，可以攻擊。如果使用了hacker工具可以爆破。

Admin Section

前置：完成Improper Input Validation-Admin Registration，即已注冊一個admin賬號。

題目要求訪問商店的管理員部分。

1、查看源碼main.js 搜索admin，直接用普通用戶訪問會提示403.

2、使用admin賬號登錄，訪問路徑，解決。?

http://10.100.33.10:3000/#/administration

總結(jié)：查看源碼，有驚喜。

Five-Star Feedback

Get rid of all 5-star customer feedback. 要求刪除所有5星評價客戶的評價。 需要先解決admin section，用admin登錄，訪問administration路由，刪除5星評價解決。

Forged Feedback

要求用其他用戶的username提交評價。

抓包，修改connect發(fā)送未解決。隨便修改一下userId，解決。

?View Basket

要求查看其他人的購物車

解決：抓包，修改id為7請求解決，這個題像不安全對象引用。

答案給的方法是修改session里的bid后刷新

Zero Stars

要求給商店做零星評價，選擇左側(cè)contact模塊的customer feedback功能，發(fā)現(xiàn)頁面只能選擇1-5

解決：抓包，篡改請求設(shè)置rating為0 后發(fā)送，繞過UI

Web3 沙盒

找到一個意外部署的代碼沙箱，用于動態(tài)編寫智能合約。

在前端源碼main.js找到一個path?web3-sandbox，訪問http://10.100.33.10:3000/#/web3-sandbox

解決?

Bjoern's Favorite Pet

Reset the password of Bjoern's OWASP account via the?Forgot Password?mechanism with?the original answer?to his security question

CSRF

Change the name of a user by performing Cross-Site Request Forgery from another origin.

題目要求通過CSRF的方式從其他域修改用戶賬號名

<form action="http://localhost:3000/profile" method="POST"><input name="username" value="CSRF"/><input type="submit"/>
</form>
<script>document.forms[0].submit();</script>

因為samesite設(shè)置是none，所以可以從其他域請求網(wǎng)站?

在實際的攻擊場景中，攻擊者會試圖欺騙 合法用戶打開攻擊者控制的網(wǎng)站。如果 受害人同時登錄目標網(wǎng)站，請求 由步驟 3 中的惡意表單生成的 - 通過身份驗證 受害者的會話。攻擊者還可以選擇隱藏 自動發(fā)出請求，例如將其嵌入到內(nèi)聯(lián)中 高度和寬度為零的框架。

我這里寫到本地html文件，用瀏覽器打開，發(fā)現(xiàn)被屏蔽了

?

Manipulate Basket

Put an additional product into another user’s shopping basket.

題目要求把產(chǎn)品添加到其他用戶購物車

提交購物車，抓包，修改basketId發(fā)現(xiàn)報錯basketId無效。

solution：

HTTP參數(shù)污染，payload里再添加一個basketId參數(shù)

{"ProductId": 14,"BasketId": "1","quantity": 1,"BasketId": "2"}?

?HTTP參數(shù)污染

XSS

DOM XSS?

在搜索框輸入??<iframe src="javascript:alert(`xss`)">回車，會顯示一個alert

不合適的輸入驗證

Bonus Payload?

商品搜索框輸入如下代碼回車成功

<iframe width="100%" height="166" scrolling="no" frameborder="no" allow="autoplay" src="https://w.soundcloud.com/player/?url=https%3A//api.soundcloud.com/tracks/771984076&color=%23ff5500&auto_play=true&hide_related=false&show_comments=true&show_user=true&show_reposts=false&show_teaser=true"></iframe>

Improper Input Validation?

Admin Registration

題目要求注冊為管理員權(quán)限的用戶。

提交body??{"email":"admin","password":"admin","role":"admin"}

Missing Encoding

photo-wall有一個小貓圖片未顯示，查看元素，可以看到src地址，在新標簽頁打開，

發(fā)現(xiàn)傳給服務(wù)器的url變?yōu)槿缦?#xff0c;導致圖片未顯示。因為#號被瀏覽器解釋了are interpreted by your browser as HTML anchors 所以需要將#編碼為%23 即可顯示圖片

http://10.100.33.10:3000/assets/public/images/uploads/%F0%9F%98%BC-

Repetitive Registration

題目要求注冊用戶時不用輸入驗證密碼

解決：抓包，修改passwordRepeat為空提交。

Upload Type

要求上傳非pdf和zip的文件

抓接口，通過接口上傳非zip文件

上傳大于 100 kB 的文件

豪華欺詐

無需付費即可獲得豪華會員資格，修改continue元素刪除diabled屬性，然后發(fā)送請求。

?

?提示wallet錢不夠，抓包，修改請求為空字符串，使后端不知道從哪里扣錢。

Cryptographic Issues

Weird Crypto

題目要求找到一個加密算法（或加密庫），該算法要么

?我在feedback的comment輸入MD5，然后提交評價，就通過了，可見用到了MD5，但我沒有找哪里用到了。

solution

雜項

?Privacy Policy?

要求閱讀隱私政策

使用的任何自動爬蟲或爬蟲工具都可能解決此問題，打開這個頁面就會提示成功

Bully Chatbot

一直給機器發(fā)give me a coupon，在contact us查看社交平臺，繼續(xù)發(fā)give me a coupon，就會給發(fā)優(yōu)惠券碼，通過。

Mass Dispel

Close multiple "Challenge solved"-notifications in one go. 要求一次性關(guān)閉多個問題已解決通知

按住shift點擊一個通知的關(guān)閉按鈕X解決

如果問題已被解決，可以重啟docker restart 容器id 再次訪問，所有通知都會顯示，然后操作。

Security Policy安全政策

Behave like any "white hat" should before getting into the action.

解決問題。?

Sensitive Data Exposure?

Confidential Document

題目要求找到一個秘密文件。看了solution才知道從哪入手。

在about us 頁面有一個文件鏈接地址?http://10.100.33.10:3000/ftp/legal.md

去掉url中的文件引用，可以看到ftp目錄所有文件，隨便點擊一個，解決該問題。

Exposed Metrics

題目要求找到監(jiān)控端點，提示給了監(jiān)控用的是prometheus

訪問ip:3000/metrics 解決

Login MC SafeSearch?

使 題目要求用MC SafeSearch 的原始用戶憑據(jù)登錄，僅接受原始密碼作為解決方案。使用 SQL 注入或其他攻擊不算在內(nèi)。

Meta Geo Stalking

Determine the answer to John's security question by looking at an upload of him to the Photo Wall and use it to reset his password via the?Forgot Password?mechanism.

要求回答john的安全問題，通過查看他上傳的照片。?

solution

總結(jié)：這題的啟示是社交網(wǎng)絡(luò)可能泄露你的安全問題，導致攻擊者可以修改你的密碼，所以安全問題也沒那么安全。?

Visual Geo Stalking

Determine the answer to Emma's security question by looking at an upload of her to the Photo Wall and use it to reset her password via the?Forgot Password?mechanism.

題目要求回答emma的安全問題

?重置密碼鏈接，輸入email可以看到emma的安全問題是第一個工作的公司。

照片墻中有emma發(fā)布的照片，從logo看出答案 答案ITsec 輸入為安全問題答案，重置密碼解決。

NFT Takeover

Take over the wallet containing our official Soul Bound Token (NFT).題目要求接管官方NTF，無思路。

?

solution??0x5bcc3e9d38baa06e7bfaab80ae5957bbe8ef059e640311d7d6d465e6bc948e3e

Login Amy

Log in with Amy’s original user credentials. (This could take 93.83 billion trillion trillion centuries to brute force, but luckily she did not read the "One Important Final Note")

搜索93.83 billion trillion trillion centuries

在你的針藏的有多好?網(wǎng)站里發(fā)現(xiàn)

可得一個示例密碼 D0g…

得到最終密碼為 K1f.....................

?

Security Misconfiguration

Deprecated Interface

Use a deprecated B2B interface that was not properly shut down.

題出的無力吐槽，要求找到一個過期的B2B接口。

在complain菜單，上傳文件，篩選的是pdf和zip，查看源碼，搜索zip 發(fā)現(xiàn)除了pdf和zip,還支持xml，所以上傳一個xml文件提交解決這個題。

Error Handlingstar_rate

Provoke an error that is neither very gracefully nor consistently handled.

?Error Handling - OWASP Cheat Sheet Series

Unvalidated Redirects

Outdated Allowlist

Let us redirect you to one of our crypto currency addresses which are not promoted any longer.