OWASP Juice-Shop靶场(⭐⭐)

目录

Reflected XSS

Exposed credentials

Login Admin

Admin Section

Five-Star Feedback

Password Strength

View Basket

Deprecated Interface

Empty User Registration

Login MC SafeSearch

Meta Geo Stalking

NFT Takeover

Security Policy

Visual Geo Stalking

Weird Crypto

---

Reflected XSS

在进行该关卡前需要进行购物操作

然后在历史订单中找到关于id的url

http://172.25.254.145/#/track-result?id=487f-f583c8974e2e3d5a

Exposed credentials

A developer was careless with hardcoding unused, but still valid credentials for a testing account on the client-side.

一名开发人员粗心大意，在客户端硬编码了未使用但仍然有效的测试账户凭证

testing@juice-sh.op

IamUsedForTesting

Login Admin

登录界面sql注入即可

Admin Section

需要在管理员身份下访问该页面

Five-Star Feedback

上一关基础上，在管理页面删除5星即可

Password Strength

admin@juice-sh.op

暴力破解即可

View Basket

横向越权

修改请求头中/rest/basket/后的数字即可

Deprecated Interface

用于上传单个发票 PDF 文件、XML 格式的企业对企业（B2B）订单文件，或包含多个发票或订单的 ZIP 压缩文件的输入区域。

Empty User Registration

抓包，账号密码删除后，放包即可

Login MC SafeSearch

敏感数据泄露

https://www.youtube.com/watch?v=v59CX2DiX0Y

账号密码

mc.safesearch@juice-sh.op

Mr. N00dles

Meta Geo Stalking

查看john的照片

账号

john@juice-sh.op

通过下载图片来识别图片的经纬度

EXIF信息查看器

36 deg 57' 31.38" N, 84 deg 20' 53.58" W,

36.958717°N，84.348183°W

安全问题答案

Daniel Boone National Forest

将相关信息填入即可

NFT Takeover

purpose betray marriage blame crunch monitor spin slide donate sport lift clutch

(BIP39 - Mnemonic Code)

选取种子

552b89904540a9d8751f1c7e31f71feb584bb62af857fbfb65bcb8e48c80dcb8654614379a2a1e294f759134c0008beeee778fb353f98e15edf3adad2a728e17

没有成功

Security Policy

http://172.25.254.145/security.txt

Visual Geo Stalking

eemma@juice-sh.op

ITsec

Weird Crypto

 输入md5