# 1. Lab: Detecting NoSQL injection
- Lab phân loại và tìm kiếm category bằng mongodb, để solve lab thì mình cần khiến cho trang web hiển thị tất cả sản phẩm, kể cả những sản phẩm chưa được ra mắt
- Phần lý thuyết đã giải thích khá kĩ cách làm tạo ra điều kiện `or 1=1` như của sql. Thì ở NoSQL mình sẽ sử dụng `'||1||'`, câu query sẽ tương đương với `'||'1'=='1'`
- Ngoài cách trên thì mình cũng có thể dùng `'%00` (nullbyte) để loại bỏ điều kiện ở đằng sau
- Solved :heavy_check_mark:
# 2. Lab: Exploiting NoSQL operator injection to bypass authentication
Tính năng đăng nhập được thực hiện bởi MongoDb, để solve lab thì mình cần đăng nhập vào user admin
Đăng nhập vào thì mình thấy họ đẩy qua post body, mình thử đổi mật khẩu và sử dụng operator `$ne` để bypass login thì thấy thành công:
Mình chuyển ngay sang username administrator, nhưng đời không như là mơ
Bypass được tài khoản wiener, mình chuyển sang nghĩ rằng tên user administrator không tồn tại, nên mình sẽ thử xài `$in` để chèn mảng vào để xem sao
Thử một hồi mảng không được, mình thử sang regex thì ăn ngay :>, hehe
```json!
{"username":{"$regex":"ad"},"password":{"$ne":"lmao"}}
```
Để tên admin như này sao mà đỡ được :rolling_on_the_floor_laughing:, solved
# 3. Lab: Exploiting NoSQL injection to extract data
Trong burp history lúc đăng nhập có tab này, website tìm kiếm user trước rồi mới vào my-account, mình sẽ lợi dụng entrypoint này để leak thông tin admin
Mình biết được username là administrator
Bruteforce lấy mật khẩu thui
Nếu như không thành công thì câu query sẽ không tìm thấy user, mình thử độ dài của pasword là 30 thì có kết quả:
Mật khẩu của admin là: `hnkqksxd`
Solved :heavy_check_mark:
# 4. Lab: Exploiting NoSQL operator injection to extract unknown fields
- Lab hint rằng để solve lab thì phải lấy được reset token của carlos trước, nên mình sẽ đi tìm nó
- Ban đầu khi nói đến việc lấy reset password token, thì mình cứ nghĩ rằng mình sẽ có 1 email server nhưng không, không có gì cả, mình cũng không có tài khoản mặc định wiener:peter, nên mình chưa hiểu sẽ lấy tài khoản kiểu gì
Khi mình thử nosql injection vào login thì không có gì
Mình cứ ngỡ là không bị dính, nhưng khi thêm operator $where thì nó lại dính, nên mình quyết định đi tìm tên các cột dựa vào việc trigger ở operator $where
Mình đoán cột 1 là id và thử thì ra response là account locked, chứng tỏ là câu quyery đã được thực thi
- Cứ như vậy mình bruteforce được 4 bảng, bảng thứ 4 nghe có vẻ dùng để khai thác lấy reset token
```
id
username
password
pwResetTkn
```
- Mình sẽ đi bruteforce lấy giá trị reset token trong db
- Kết quả: `9ce05bd2c09bdfad`
- Sau đó mình không thể tìm thấy được endpoint nào sử dụng cái này, cuối cùng mình mới biết nó ở `/forgot-password?pwResetTkn=9ce05bd2c09bdfad` (pha này chịu mình không đoán được)
- Solved :heavy_check_mark:
Sign in with Wallet
Connect another wallet