Media$20045 min

HTTP Method Override & Admin Bot Exploitation

Plataforma de venta de coches premium con un endpoint de cambio de contrasena que acepta tanto POST como GET. Un bot administrador revisa los tickets de soporte y abre todos los links que contienen. Encadena el cambio de metodo HTTP con ingenieria social al bot para conseguir acceso administrativo y exfiltrar datos sensibles del negocio.

123 visitas12 completadosActualizado jun 2026

Iniciar sesión para empezar

Accede a este lab

Entorno seguro y aislado

Crea una cuenta y suscríbete para acceder a todos los labs. Practica en un entorno real y seguro.

Crear cuenta Ya tengo cuenta

Hunters que lo han resuelto· 8

@benjaminnocervigniHace 1 día

@pl4nktonHace 21 días

JO3

@joako233may 2026

@pmartinezrmay 2026

@pablo.reyes-dossierabr 2026

@h4xthanabr 2026

@w4tchw0lfabr 2026

@alndrwlaabr 2026

Objetivos

Descubrir que el endpoint de cambio de contrasena acepta peticiones GET ademas de POST

Identificar al administrador que revisa los tickets de soporte

Construir un link malicioso que cambie la contrasena del administrador en un solo clic

Enviar el link a traves del formulario de contacto para que el bot lo abra

Acceder al panel de administracion con las credenciales robadas

Obtener la flag del dashboard administrativo

Logro que recibirás

Cuando resuelvas este lab desbloqueas este logro compartible

BBLABS.ESLab Resuelto

Media$200

// achievement_unlocked

HTTP Method Override & Admin Bot Exploitation

CSRFAPI Abuse

jun 2026

solved_by@gorkaMiembro desde mar 2026

bblabs.es// real bug bounty practice

Writeups de la comunidad

Despliegue

# Opcion 1: autodeploy
./autodeploy.sh

# Opcion 2: manual
docker compose up --build

# Acceder
http://localhost:4000

Compatible con macOS, Linux y Windows (Docker Desktop / WSL).

Para parar:

./autodeploy.sh destroy
# o Ctrl+C si usaste autodeploy
# o: docker compose down -v

La aplicacion

EliteMotors es una plataforma de venta de coches de segunda mano premium. La web incluye:

Catalogo de coches — 15 vehiculos con especificaciones detalladas (BMW M3, Porsche 911, Mercedes AMG, etc.)
Sistema de usuarios — Registro, login, perfil con cambio de contrasena
Soporte / Contacto — Formulario de tickets donde un administrador revisa cada solicitud
Panel administrativo — Dashboard con estadisticas de ventas, datos de compradores (PII), gestion de usuarios

La vulnerabilidad

El endpoint /api/auth/change-password esta disenado para recibir peticiones POST con Content-Type: application/x-www-form-urlencoded:

POST /api/auth/change-password
Content-Type: application/x-www-form-urlencoded
Cookie: token=<JWT>

newPassword=nuevaContrasena123

Sin embargo, el mismo endpoint tambien acepta peticiones GET, leyendo los parametros de la URL:

GET /api/auth/change-password?newPassword=nuevaContrasena123
Cookie: token=<JWT>

Esto convierte una accion de estado (cambio de contrasena) en un link de 1-clic.

El bot administrador

El administrador carlos_manager revisa los tickets de soporte cada 15 segundos. Cuando encuentra un link en el mensaje de un ticket, lo abre automaticamente con su sesion activa (cookie JWT).

La cadena de ataque

1. Registrarse → Crear cuenta propia
2. Explorar → Ir a Perfil, cambiar contrasena, observar peticion POST
3. Descubrir → Probar la misma peticion como GET (funciona!)
4. Reconocimiento → Ver tickets → "Assigned to: carlos_manager"
5. Explotar → Enviar ticket con link:
   http://localhost:4000/api/auth/change-password?newPassword=hacked123
6. Esperar → Bot abre el link con sesion de admin → contrasena cambiada
7. Acceso → Login como carlos_manager / hacked123
8. Flag → Panel admin → bb7a98c57b8374c3e00f0f1b3d0e4c57

Solucion interactiva

Accede a /writeup dentro de la aplicacion (requiere login) para una guia paso a paso con botones que ejecutan cada peticion automaticamente.