Juice Shop: Unterschied zwischen den Versionen
Zur Navigation springen
Zur Suche springen
| Zeile 23: | Zeile 23: | ||
==node pm2== | ==node pm2== | ||
| + | <pre> | ||
xinux@juiceshop:~/juice-shop$ pm2 start npm --name "juiceshop" -- start | xinux@juiceshop:~/juice-shop$ pm2 start npm --name "juiceshop" -- start | ||
[PM2] Starting /usr/bin/npm in fork_mode (1 instance) | [PM2] Starting /usr/bin/npm in fork_mode (1 instance) | ||
| Zeile 44: | Zeile 45: | ||
│ 0 │ juiceshop │ default │ N/A │ fork │ 88256 │ 48s │ 0 │ online │ 0% │ 64.2mb │ xinux │ disabled │ | │ 0 │ juiceshop │ default │ N/A │ fork │ 88256 │ 48s │ 0 │ online │ 0% │ 64.2mb │ xinux │ disabled │ | ||
└────┴──────────────┴─────────────┴─────────┴─────────┴──────────┴────────┴──────┴───────────┴──────────┴──────────┴──────────┴──────────┘ | └────┴──────────────┴─────────────┴─────────┴─────────┴──────────┴────────┴──────┴───────────┴──────────┴──────────┴──────────┴──────────┘ | ||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
xinux@juiceshop:~/juice-shop$ sudo ss -tlpn | xinux@juiceshop:~/juice-shop$ sudo ss -tlpn | ||
State Recv-Q Send-Q Local Address:Port Peer Address:Port Process | State Recv-Q Send-Q Local Address:Port Peer Address:Port Process | ||
| Zeile 56: | Zeile 52: | ||
LISTEN 0 511 *:3000 *:* users:(("node",pid=88272,fd=19)) | LISTEN 0 511 *:3000 *:* users:(("node",pid=88272,fd=19)) | ||
| + | </pre> | ||
= Juice Shop Challenges = | = Juice Shop Challenges = | ||
Version vom 6. Mai 2025, 11:38 Uhr
- Der Juice Shop (dt. Saftladen) von OWASP ist eine Webapplikation, die speziell dazu gebaut wurde, um das Hacking von Web Schwachstellen zu lernen
- Es enthält ein Scoreboard, um die gelösten Challenges zu tracken und weitere potentielle Schwachstellen aufzulisten
Installation
- die Anwendung lässt sich über Docker installieren
- apt install docker.io
- docker pull bkimminich/juice-shop
- docker run -d -p 0.0.0.0:80:3000 bkimminich/juice-shop
- Nun sollte die Webseite über http://localhost erreichbar sein
- oder
docker-compose.yml
services:
foo:
privileged: true
image: bkimminich/juice-shop
restart: always
ports:
- 83:3000
- docker compose up -d
node pm2
xinux@juiceshop:~/juice-shop$ pm2 start npm --name "juiceshop" -- start
[PM2] Starting /usr/bin/npm in fork_mode (1 instance)
[PM2] Done.
┌────┬──────────────┬─────────────┬─────────┬─────────┬──────────┬────────┬──────┬───────────┬──────────┬──────────┬──────────┬──────────┐
│ id │ name │ namespace │ version │ mode │ pid │ uptime │ ↺ │ status │ cpu │ mem │ user │ watching │
├────┼──────────────┼─────────────┼─────────┼─────────┼──────────┼────────┼──────┼───────────┼──────────┼──────────┼──────────┼──────────┤
│ 0 │ juiceshop │ default │ N/A │ fork │ 88256 │ 0s │ 0 │ online │ 0% │ 30.6mb │ xinux │ disabled │
└────┴──────────────┴─────────────┴─────────┴─────────┴──────────┴────────┴──────┴───────────┴──────────┴──────────┴──────────┴──────────┘
xinux@juiceshop:~/juice-shop$ pm2 startup
[PM2] Init System found: systemd
[PM2] To setup the Startup Script, copy/paste the following command:
sudo env PATH=$PATH:/usr/bin /usr/lib/node_modules/pm2/bin/pm2 startup systemd -u xinux --hp /home/xinux
xinux@juiceshop:~/juice-shop$ pm2 save
[PM2] Saving current process list...
[PM2] Successfully saved in /home/xinux/.pm2/dump.pm2
xinux@juiceshop:~/juice-shop$ pm2 list
┌────┬──────────────┬─────────────┬─────────┬─────────┬──────────┬────────┬──────┬───────────┬──────────┬──────────┬──────────┬──────────┐
│ id │ name │ namespace │ version │ mode │ pid │ uptime │ ↺ │ status │ cpu │ mem │ user │ watching │
├────┼──────────────┼─────────────┼─────────┼─────────┼──────────┼────────┼──────┼───────────┼──────────┼──────────┼──────────┼──────────┤
│ 0 │ juiceshop │ default │ N/A │ fork │ 88256 │ 48s │ 0 │ online │ 0% │ 64.2mb │ xinux │ disabled │
└────┴──────────────┴─────────────┴─────────┴─────────┴──────────┴────────┴──────┴───────────┴──────────┴──────────┴──────────┴──────────┘
xinux@juiceshop:~/juice-shop$ sudo ss -tlpn
State Recv-Q Send-Q Local Address:Port Peer Address:Port Process
LISTEN 0 4096 127.0.0.53%lo:53 0.0.0.0:* users:(("systemd-resolve",pid=40865,fd=13))
LISTEN 0 128 0.0.0.0:22 0.0.0.0:* users:(("sshd",pid=710,fd=3))
LISTEN 0 128 [::]:22 [::]:* users:(("sshd",pid=710,fd=4))
LISTEN 0 511 *:3000 *:* users:(("node",pid=88272,fd=19))
Juice Shop Challenges
Score Board / Admin Seite Challenge
- Finden Sie das versteckte Score Board
Admin Challenge
- Loggen Sie sich als Administrator an
Cross Site Scripting
- Erzeugen Sie einen Link, der dem Opfer warnt, dass er gehackt wurde
Brute Force Coupon
- Nerven Sie den Chatbot solange bis er einen Coupon rausrückt
0 Sterne Feedback
- Geben Sie mithilfe von Burp ein 0 Sterne Feedback
Geheimes Dokument ansehen
- Finden die geheime acquisitions.md-Datei
- Tipp: Ein Ordner wird nicht richtig mit Zugriffskontrollen geschützt. Suchen Sie diesen über die auf der Webseite verfügbaren Links