DifícilVDP30 min
Client-Side Path Traversal to Admin Password Change
Accede a este lab
Entorno seguro y aislado
Crea una cuenta y suscríbete para acceder a todos los labs. Practica en un entorno real y seguro.
Hunters que lo han resuelto· 8
Logro que recibirás
Cuando resuelvas este lab desbloqueas este logro compartible
BBLABS.ESLab Resuelto
DifícilVDP
// achievement_unlocked
Client-Side Path Traversal to Admin Password Change
Path Traversal
jun 2026
solved_by@gorkaMiembro desde mar 2026
bblabs.es// real bug bounty practice
Writeups de la comunidad
Despliegue
# Opcion 1: autodeploy
./autodeploy.sh
# Opcion 2: manual
docker compose up --build
# Acceder
http://localhost:1500
Compatible con macOS, Linux y Windows (Docker Desktop / WSL).
Para parar:
./autodeploy.sh destroy
# o: docker compose down -v
Contenido del Lab
La aplicacion
ZeroDay Forum con funcionalidad de Password Vault donde el parametro de URL se usa en la ruta de la API del cliente.
La vulnerabilidad
El Password Vault construye la URL de la API usando un parametro de la URL: /api/vault/${param}. Mediante path traversal (..%2F..%2Fauth%2FchangePassword?pass=hacked123), se puede redirigir la peticion al endpoint de cambio de contrasena.
Cadena de ataque
1. Analizar URL del Password Vault
2. Descubrir inyeccion de path en la API del cliente
3. Crear URL: /vault/..%2F..%2Fauth%2FchangePassword?pass=hacked123
4. Publicar en el foro
5. Admin bot visita → contrasena cambiada
6. Login como z3r0c00l → Flag
Solucion interactiva
Accede a /writeup dentro de la aplicacion para una guia paso a paso con botones interactivos.
Flag
827ccb0eea8a706c4c34a16891f84e7b
Remediacion
- Nunca concatenar input del usuario en rutas de API
- Validar y sanitizar parametros de URL
- Usar IDs en vez de paths para referenciar recursos
- Server-side: validar que la ruta solicitada es valida
