Descripción
This lab has an unprotected admin panel. It’s located at an unpredictable location, but the location is disclosed somewhere in the application.
Solve the lab by accessing the admin panel, and using it to delete the user carlos.
Unprotected admin functionality with unpredictable URL writeup
Al entrar en la página web encontraremos una tienda online. Entrando a ver su código fuente con Ctrl + U o Click derecho -> Ver código fuente de la página veremos el siguiente script:
Este script hace que, si la variable ‘isAdmin’ es cierta, crea un enlace nuevo en la lista de enlaces ‘top-links’ que apunta a ‘/admin-bfroeq’. Al copiar el enlace y anexionarlo a la URL podremos encontrar el panel de administrador:
Eliminando así al usuario ‘carlos’ y finalizando el laboratorio:
