目录
环境搭建
漏洞复现
挑战1:找到泄露其它用户敏感信息的API接口
挑战2:找到泄露视频内部属性的API接口
挑战3:访问其它用户车辆的详细信息
挑战4:访问其它用户的机械报告
挑战5:重置其它用户的密码
挑战6:删除另一个用户的视频
挑战7:免费获得一件物品
挑战8:将您的结余增加1000元或以上
挑战9:让crAPI发送一个HTTP调用到“ www.baidu.com”并返回HTTP响应
挑战10:想办法在不知道优惠券代码的情况下获得免费优惠券
环境搭建
借助 crAPI 靶场来讲解API相关渗透技能。
按照如下步骤安装:
在Kali创建目录,并下载相关文件
curl -o docker-compose.yml https://raw.githubusercontent.com/OWASP/crAPI/main/deploy/docker/docker compose.yml拉取相关镜像
docker-compose pull
将docker-compose.yml中未被注释的监听的地址127.0.0.1改成你虚拟机的IP地址
运行对应的环境
docker-compose pu -d
正常启动之后,访问: http://虚拟机ip:8888 就能看到登录界面
自己注册账号登录即可。
新用户进来之后,需要去邮箱服务绑定一下车辆信息:
访问:http://虚拟机ip:8025/
漏洞复现
网站一共十个漏洞挑战。
挑战1:找到泄露其它用户敏感信息的API接口
在论坛页面存在过多的数据暴露
我们可以打开Burpsuit,然后在历史记录里抓包看包。
这里刷新Community,然后抓包!
看到一个这样的包 :
/community/api/v2/community/posts/recent?limit=30&offset=0
挑战2:找到泄露视频内部属性的API接口
点击网站个人中心(My Profile)进入上传视频的接口
随便上传一个视频:
修改视频名字:
