从OWASP Juice Shop二星挑战掌握Web安全核心漏洞实战技巧

1. 项目概述：从“靶场”到“实战”的必经之路

如果你对Web安全感兴趣，或者正在学习渗透测试，那么“Juice Shop”这个名字你一定不陌生。它不是一个卖果汁的网店，而是一个被广泛用于安全学习和技能验证的、故意设计得漏洞百出的Web应用。所谓的“juice shop二星”，通常指的是在类似OWASP Juice Shop这样的CTF（Capture The Flag）或闯关式靶场中，成功完成特定难度挑战后获得的成就等级标识。这“二星”背后，代表着你已经超越了新手村，开始触及Web安全中一些更核心、更典型的漏洞原理与利用手法。

我自己在带新人或者自己温故知新时，Juice Shop都是首推的“练功房”。它好就好在环境统一、漏洞类型全面，从简单的注入、跨站脚本（XSS），到复杂的业务逻辑漏洞、不安全的反序列化，应有尽有。拿到“二星”，意味着你已经能够系统性地运用工具和方法，而不仅仅是碰运气。这就像学武功，扎马步、练套路是“一星”，而“二星”则是开始学习如何见招拆招，理解每一招背后的意图。接下来，我就以一个老手的视角，带你拆解通往“二星”路上那些必须掌握的核心思路、实操技巧以及那些容易栽跟头的坑。

2. 整体攻关思路与策略规划

面对一个像Juice Shop这样的综合性靶场，漫无目的地点击测试是效率最低的做法。从“一星”到“二星”的跃升，关键在于从“单个漏洞点”的发现，转向“系统性测试流程”的应用。

2.1 建立标准化的测试流程

我的习惯是，拿到一个Web应用，不管是不是靶场，都先走一遍标准的信息收集和侦察流程。对于Juice Shop，这一步同样重要，尽管它的漏洞是预设的。

首先，使用浏览器开发者工具（F12）是基本操作。查看网络请求，你会发现一些API端点，比如/rest开头的路径，这往往暗示着这是一个前后端分离的应用，后端提供了RESTful API。前端的逻辑漏洞（如客户端校验绕过）和后端的API漏洞（如未授权访问、参数污染）测试方向就由此分化。

其次，一定要完整地浏览一遍网站的所有功能点：用户注册、登录、商品浏览、搜索、购物车、结账、用户资料管理、文件上传、评价反馈等等。用思维导图或者简单的笔记列出所有功能模块和输入点。Juice Shop的“二星”挑战往往就藏在这些看似平常的功能背后。

注意：不要一上来就用自动化扫描器狂轰滥炸。对于学习而言，手动测试和理解漏洞成因远比得到一个漏洞结果更重要。自动化工具可以作为辅助，比如用Burp Suite的爬虫功能帮你梳理网站结构，但核心的测试逻辑必须由你掌控。

2.2 漏洞类型的优先级与关联性思考

Juice Shop覆盖了OWASP Top 10的大部分漏洞类型。在攻关时，可以按照“由易到难”、“由高频到低频”的顺序进行测试：

1. 注入类（SQLi， NoSQLi， Command Injection）：这是基础中的基础。任何用户输入点（搜索框、登录框、参数）都是怀疑对象。尝试经典的'、"、\看是否有错误回显，再尝试' OR '1'='1这类Payload。
2. 跨站脚本（XSS）：同样是高频漏洞。在所有能输入文本并回显的地方测试，比如评价、用户名、搜索关键词。先试简单的<script>alert(1)</script>，再尝试绕过可能的过滤器。
3. 敏感信息泄露：检查前端代码（HTML/JS注释）、HTTP响应头、robots.txt文件、甚至错误信息。Juice Shop经常在注释里藏提示（Flag）或密码。
4. 认证与授权漏洞：尝试越权操作。用普通用户A登录后，能否直接访问或修改用户B的资料（IDOR - 不安全的直接对象引用）？是否有API接口无需认证即可调用？
5. 业务逻辑漏洞：这是提升到“二星”的关键。比如，修改购物车商品价格为负数或零、重复提交订单、优惠券逻辑绕过、竞态条件等。这需要你对业务流程有深入理解。

这些漏洞类型不是孤立的。一个SQL注入点可能帮你拿到管理员密码（敏感信息泄露），从而完成垂直越权（授权漏洞）。建立起这种关联性思维，你的测试效率会大大提升。

3. 核心漏洞场景深度解析与实战

下面，我们针对几个典型的“二星”难度场景，进行深度拆解。我会假设一个具体的挑战目标，并展示完整的思考与操作过程。

3.1 场景一：利用NoSQL注入绕过登录认证

很多现代应用使用MongoDB等NoSQL数据库。Juice Shop就有相关的挑战。假设我们遇到一个登录接口，后端使用MongoDB查询用户。

常规测试：在用户名和密码框输入'或"，可能没有典型的SQL错误。这时就要考虑NoSQL注入。

原理分析：NoSQL查询可能类似db.users.find({username: req.body.username, password: req.body.password})。如果我们能控制输入的结构，而不仅仅是值，就有可能改变查询逻辑。

实操步骤：

1. 拦截登录请求（使用Burp Suite或浏览器开发者工具的网络面板）。
2. 将请求体（通常是JSON）从{"username":"test","password":"test"}修改为{"username":"admin","password":{"$ne": null}}。
3. 这个Payload的含义是：查询用户名为“admin”，且密码“不等于null”的记录。由于数据库中admin用户的密码字段肯定不为null，所以这个查询条件恒真，从而绕过密码验证。
4. 更常见的Payload是{"username":"admin","password":{"$ne":"wrongpass"}}或者使用$regex操作符进行盲注。

避坑心得：

• 注意请求的Content-Type。如果是application/json，才能直接注入JSON对象。如果是application/x-www-form-urlencoded，可能需要尝试不同的语法，比如username=admin&password[$ne]=。
• 不是所有支持JSON的接口都容易受到此攻击。如果后端对输入进行了严格的类型转换（如始终将密码转换为字符串），则注入可能失败。多尝试不同的操作符，如$gt，$regex。
• 这个漏洞的利用成功，直接让你以其他用户（如admin）身份登录，是典型的认证绕过，对应Juice Shop中的相关挑战。

3.2 场景二：挖掘与利用隐蔽的API接口（未授权访问）

现代单页应用（SPA）大量依赖API。这些API可能没有在前端显式调用，但依然存在。

侦察过程：

1. 主动爬取：使用Burp Suite的Target -> Site map功能，或者使用gobuster、dirsearch等工具对/api，/rest，/v1等目录进行爆破。

   # 示例命令，实际路径需根据情况调整 gobuster dir -u http://juice-shop靶场地址/ -w /path/to/common-api-words.txt -x js,json

2. 被动发现：浏览网站时，Burp Suite的Proxy历史记录会捕获所有请求。仔细查看每一个JS文件（.js）的源代码，搜索/api，fetch，axios，.get(，.post(等关键词，可能会发现前端未使用但后端存在的API端点。
3. 分析JavaScript文件：在开发者工具的Sources面板中，找到主要的app.js或chunk文件。格式化后搜索“admin”、“user”、“delete”、“upload”等敏感词汇，可能找到对应的API路径。

漏洞利用：假设我们发现了一个/api/admin/users的接口，通过GET请求可以列出所有用户。

1. 直接在浏览器访问http://靶场地址/api/admin/users。
2. 如果返回401/403错误，尝试在已登录的状态下访问（携带当前用户的Cookie）。
3. 如果登录后普通用户访问成功，这就是一个水平越权漏洞（看到了其他用户信息）。如果普通用户访问失败，但我们可以通过某种方式（如修改用户ID为admin）访问到，则是垂直越权。
4. 更隐蔽的是，这个接口可能接受POST请求来创建或删除用户。尝试使用Burp Repeater模块，将GET请求改为POST，并构造相应的JSON数据体进行测试。

核心要点：对于API测试，务必测试所有HTTP方法（GET， POST， PUT， DELETE， PATCH）。一个GET请求安全的接口，其DELETE接口可能是不安全的。

3.3 场景三：客户端业务逻辑漏洞（价格操控）

这是业务逻辑漏洞的经典例子，在Juice Shop的购物车功能中很可能出现。

测试过程：

1. 添加一个商品到购物车。
2. 拦截“更新购物车”或“结账”前的任何一个请求（通常是更新商品数量或计算总价的请求）。
3. 在请求参数中，寻找代表商品价格的参数，如price，total，itemPrice。
4. 尝试修改其值。例如，将price: 19.99修改为price: 0.01或price: -1。
5. 提交请求，观察前端显示的总价和后端是否成功以低价创建订单。

深入利用：

• 如果修改单个商品价格失败，可以尝试修改商品数量为负数（quantity: -1），这可能导致总价计算出现负数，从而在结账时“增加”你的余额。
• 拦截整个订单提交的请求，查看其中是否包含一个计算好的“总价”字段。尝试直接修改这个总价为任意值。
• 关键点：永远不要相信客户端传来的任何与金额、库存、权限相关的数据。服务器端必须进行二次校验。作为攻击者，我们的工作就是找出服务器端校验缺失的环节。

实操记录：在一次测试中，我拦截到请求体为{"productId": 10, "quantity": 1}。我将其改为{"productId": 10, "quantity": -100}。提交后，购物车总价显示为巨大的负数。在结账时，系统错误地将这个负数作为抵扣，最终以近乎零的成本完成了订单。这个漏洞的利用直接对应“购买所有商品”或“以极低成本购物”这类挑战。

4. 工具链的协同与高效利用

工欲善其事，必先利其器。从“一星”到“二星”，工具的使用应从单一走向协同。

4.1 浏览器开发者工具：你的第一道侦察兵

除了看Console和Network，这些高级用法很重要：

• Sources面板断点调试：对于复杂的客户端逻辑漏洞（如优惠券验证代码在前端），直接在JS代码中设置断点，单步执行，观察变量变化，可以精准定位校验逻辑。
• Application面板：仔细检查Local Storage、Session Storage、Cookies。有时Flag或敏感令牌就藏在这里。检查Cookie的HttpOnly、Secure属性是否缺失。
• Overrides功能：你可以覆盖服务器返回的JS或HTML文件。例如，你可以将一段客户端的价格校验代码直接覆盖为空函数，从而轻松绕过前端校验，专注于测试后端漏洞。

4.2 Burp Suite：中枢神经系统

Burp是渗透测试的核心。对于Juice Shop：

1. Proxy + Repeater：这是最常用的组合。拦截、修改、重放请求。
2. Intruder：用于爆破和模糊测试。比如，当你发现一个参数可能存在SQL注入，但需要遍历大量Payload时，就用Intruder。也可以用于枚举用户ID（IDOR）、目录等。
3. Scanner：虽然学习时以手动为主，但Burp的主动扫描器可以作为补充，帮你发现一些容易遗漏的简单漏洞，如明文传输的密码、缺少安全头等。切记：在授权测试中使用，靶场随意。
4. Target -> Site Map：这里会自动生成整个网站的地图，包括通过JS动态加载的接口，非常有利于全面了解应用结构。

4.3 命令行辅助工具：查漏补缺

• curl：快速测试API接口，尤其是在验证未授权访问时，一条命令就能搞定：curl -v http://靶场/api/sensitive-data。
• sqlmap：当手动确认存在SQL注入点后，可以用sqlmap进行自动化利用，获取数据库数据。命令示例：sqlmap -u "http://靶场/search?q=test" --batch --dbs。但强烈建议先手动验证和理解注入原理。
• 自定义脚本（Python）：对于复杂的业务逻辑漏洞，比如需要连续发送多个特定顺序的请求（竞态条件攻击），写一个简单的Python脚本（使用requests库）比手动操作可靠得多。

5. 常见问题排查与心态调整

即使在Juice Shop这样的标准靶场，你也会遇到各种“卡关”的情况。以下是一些常见问题及解决思路：

问题1：我明明按照Writeup（解题记录）的Payload输入，为什么没用？

• 可能原因1：环境差异。Juice Shop版本可能已更新，漏洞点或防护机制有变化。不要完全依赖旧版Writeup。
• 可能原因2：输入点错误。Payload需要注入到特定的参数中，你可能拦截错了请求，或者修改的不是后端真正处理的参数。用Burp多拦截几个不同操作触发的请求试试。
• 排查技巧：开启Burp的代理历史记录，仔细对比你的请求和Writeup中的请求，从URL、参数名、参数格式（JSON/Form）、请求头（Content-Type）逐一比对。

问题2：没有错误回显，我怎么判断是否存在漏洞？

• 转向“盲注”思维：对于SQL注入，尝试使用基于布尔（真/假）或基于时间的盲注Payload。例如，输入' AND sleep(5)--，观察页面响应是否延迟5秒。
• 关注细微差异：对比正常请求和攻击请求的响应。长度、响应时间、某个HTML标签内的一个单词变化、一个标点符号的增减，都可能是“盲注”成功的标志。Burp的Comparer功能可以帮你高亮显示两个响应间的差异。

问题3：我感觉所有地方都试过了，还是找不到漏洞。

• 回归信息收集：再仔细翻一遍前端代码的注释，查看每一个JS文件。Juice Shop的提示（Hint）往往就在注释里。
• 扩大测试面：你是否测试了文件上传功能的所有变种（修改后缀、双写后缀、修改Content-Type、图片马）？是否测试了所有HTTP方法？是否尝试了不同角色的账户（注册两个普通用户，互相测试越权）？
• 利用“评分板”或“挑战列表”：Juice Shop通常有一个挑战列表，里面会简要描述挑战内容。这本身就是最重要的提示。比如“以低于50元的价格购买所有商品”，这直接指向价格操控逻辑漏洞。

心态调整： “二星”意味着难度提升，卡住是常态。我的经验是，一旦卡住超过半小时，就果断去做点别的，或者换一个挑战。很多时候，灵感会在你放松的时候突然出现。渗透测试不仅是技术活，也是耐心和思维的较量。把每一次“卡关”都当成是学习一种新漏洞或新思路的机会，而不是失败。当你通过自己的思考，最终解开一个难题时，那种对漏洞原理的理解深度，是直接看答案无法比拟的。这“二星”的含金量，也就体现在这里了。