【juice-shop】★★★ Bjoern’s Favorite Pet:通过 OSINT 重置密码
0x01 任务简报
💡 提示 (Hints)1. 要解答 Bjoern 的问题,可通过在互联网上搜索他的信息来找到线索。
2. 更准确地说,Bjoern 可能在至少一次摄像机拍摄的场合中,无意间(?)透露了自己的安全问题答案。
3. 通过暴力破解获取答案完全可行,前提是准备一份足够详尽的常用宠物名列表。
前置条件: 需要网络能够访问推特(X)。
0x02 实战:复现漏洞
这题也是 OSINT 的题目……其实可以直接注入进去(雾
📧 第一步:获取目标邮箱与安全问题
在商店的商品评论区找到 Bjoern 留下的评论,进入忘记密码页面输入其邮箱,安全问题自动显示:
你的宠物名叫什么?
🐱 第二步:通过推特查找宠物信息
评论让我们看看照片墙,但是照片墙的链接会跳转到推特,emmm结合提示,在推特搜索Bjoern(我的推特现在有点问题,直接使用了攻略里面的链接进行跳转 https://x.com/bkimminich )
|
|
随便看看,在 Media 里面有一直猫疑似宠物
🔐 第三步:重置密码
根据照片推断宠物名称,在忘记密码页面填写:
|
|
✅ 第四步:完成挑战
成功重置 Bjoern 的账户密码,挑战完成。
最后,我讨厌OSINT。