Descripción
This lab gives you the option to attach a social media profile to your account so that you can log in via OAuth instead of using the normal username and password. Due to the insecure implementation of the OAuth flow by the client application, an attacker can manipulate this functionality to obtain access to other users’ accounts.
To solve the lab, use a CSRF attack to attach your own social media profile to the admin user’s account on the blog website, then access the admin panel and delete carlos.
The admin user will open anything you send from the exploit server and they always have an active session on the blog website.
You can log in to your own accounts using the following credentials:
- Social media profile:
peter.wiener:hotdog - Blog website account:
wiener:peter
Forced OAuth profile linking writeup
Al entrar al laboratorio veremos que podemos iniciar sesión con el usuario normal o con un ‘Social login’. Iniciaremos sesión con el login normal y luego añadiremos una cuenta. Capturaremos el flujo de trabajo con el ‘Logger’ de Burp Suite. Al hacerlo veremos lo siguiente:
OAuth utiliza un código de un sólo uso para añadir la cuenta de redes sociales, pero no incluye un ‘state’ para evitar un ataque CRSF. Si enviamos esta URL al administrador, enlazará su cuenta de redes sociales con nuestra cuenta de la aplicación.
Para conseguir un nuevo código habilitaremos el ‘Proxy’ y pulsaremos en ‘Attach a social profile’. Cuando nos llegue esta petición copiaremos el código y la dropearemos:
GET /oauth-linking?code=SpbTZF38qPa64zUVM8n2Ys3_g-xh6zMQu6kvSY7XHes
Crearemos un iframe para que se cargue esta URL automáticamente:
<iframe src="https://0a4c002104c070b9816625ac00ad00d2.web-security-academy.net/oauth-linking?code=SpbTZF38qPa64zUVM8n2Ys3_g-xh6zMQu6kvSY7XHes"></iframe>Ahora, cerraremos sesión con ‘Log out’ y entraremos directamente con ‘Log in with social media’. Nos dará la opción de entrar en el ‘Admin panel’ y borrar al usuario ‘carlos’, completando así el laboratorio:
