OWASP Juice-Shop
En este articulo/apuntes ire resolviendo los CTF / retos de OWASP Juice shop.
walkthrout / writeout / ctf
Instalacion.
Owasp Juice shop instala muy bien via docker incluso en una raspberry pi.
docker pull bkimminich/juice-shop
docker run -d -p 3000:3000 bkimminich/juice-shop
Funciona uncluso en una Raspberry pi.
Ojo que el puerto 3000 queda expuesto al exterior.
(Para usarlo solo en local. Puedes quitar el -p 3000:3000 y usar la ip asignada al contenedor).
web
truco: Una forma de ver las ips de todos los contenedores seria.
docker inspect -f'{{.Name}} {{.NetworkSettings.IPAddress}}' $(docker container ls -q)
En mi caso seria:
- http://127.0.0.1:3000 (ip local puerto redirigido con -p 3000:3000)
- http://172.17.0.4:3000 (ip obtenida con docker inspect)
- http://192.168.1.10 (ip de mi raspberry pi puerto redirigido con -p 80:3000)
Si pulsamos en el icono del profesor nos aparecera un tutorial que nos ira guiando en algunos retos.
Reto1 encontrar parte oculta
- /rest/admin
- /application-configuration
- /api/Users
- /rest/user/authentication-details/
- /rest/user/login
- /rest/user/change-password?current=
- /rest/user/reset-password
- /rest/user/whoami
- /rest/saveLoginIp
- /rest/deluxe-membership
- /api/BasketItems
- /rest/basket/
- /rest/track-order
- /api/Feedbacks
- /rest/captcha
- /api/SecurityQuestions
- /rest/user/security-question?email=
- /erasure-request
- /data-export
- /rest/products
- /reviews
- /api/Products
- /rest/products/search?q=
- /api/Complaints
- /rest/repeat-notification
- /rest/continue-code
- /rest/continue-code/apply/
- /rest/image-captcha/
- /rest/wallet/balance
- /api/Deliverys
- /api/Cards
- /rest/order-history
- /orders
- /ftp/order_
- /rest/admin
- /application-version
- /rest/country-mapping
- /rest/user/authentication-details/
- /rest/continue-code/apply/