0x00 前言

书接上回～

0x01 Password Reset

Security questions

这题告诉了我们webgoat用户的安全问题，让我们找回别的用户tom或者admin

一开始还以为这里存在什么逻辑问题结果一看发现，其实这题就是爆破，爆破颜色就行了

Creating the password reset link

说实话这道题目还是蛮有意思的，这里由于要用到邮件系统，所以我还需要打开webwolf，这是webgoat自带的邮件系统

我们来看一下题目的意思，题目这里要求我们重置tom的密码，然后以tom的用户身份登录进去

参考链接：https://pvxs.medium.com/webgoat-password-reset-6-634ea940e0e9 (挂梯子)

我这里还是直接查看源码看一下可能存在的漏洞点在哪里

我们首先进行密码的重置看一下请求，然后后端直接进行一个搜索

定位到如下文件

我们看到我们红框的那行代码，可以发现后端获取了我们请求头中host的数值，然后在发送邮件的过程中引入了host

所以我们可以在这个host这里做文章

我们先正常来看一下，先重置一下我们自己账号的密码

在邮箱中我们收到了重置密码的邮件

点击链接 ，发现url中最后的uuid就是我们当前的用户身份凭证

所以说我们如果能劫持他人的uuid那么我们就可以重置他人的密码了

所以大致流程如下：

1. 将host修改为我们自己可控的vps，这里我填了webwolf 也就是本地的邮件服务器，email还是tom@webgoat-cloud.org
   
   2. 这样邮件就发送到了 tom 的邮箱中了，同时找回密码的链接变成了

   localhost:9090/WebGoat/PasswordReset/reset/reset-password/tom的uuid
   

2. 然后到我们的邮件服务器中查看劫持到的uuid

然后通过替换uuid 实现密码重置

修复建议

修复起来其实很简单我们只需要固定我们的host就可以了，其实归根结底就是太相信用户的输入了，这也是很多安全问题存在的原因

0x02 总结

相对上部分这一部分设计代码审计的比较少，个人觉得这里重点还是在于思路的学习，特别是第二题让我又学到了新姿势。