Nuevos labs cada semana — Accede a todos desde 7,99€/mes

Ver labs →
BBLABS v2BBLABSv2
>Inicio>Labs
>New labs

Últimos 3 labs

Cargando…

Ver todos los labs →
>Creators>Ranking
>Aprender

Aprender bug bounty

AcademyGuías, cheatsheets y diccionarioVulnerabilidadesXSS, SQLi, IDOR, SSRF y másRoadmapTu ruta de bug bounty paso a pasoBlogGuías y noticias de bug bounty
>Empresa>Precios
LinkedInInstagramYouTubeDiscordContáctanos
AccederAcceder
>Inicio>Labs>New labs>Creators>Ranking>Aprender>Empresa>Precios
Iniciar SesiónCrear Cuenta
  1. Inicio
  2. Labs
  3. HTTP Method Override & Admin Bot Exploitation
Media$20045 min

Contacto

Practica, aprende y hackea

Plataforma de práctica de bug bounty con labs basados en reportes reales. Aprende hacking ético en entornos seguros.

contactar→

Síguenos

YouTube
@0xGorka
X
@gorkaelbochi
LinkedIn
gorka-el-bochi-morillo
Instagram
@_.gorkaaa.b
Email
team@bblabs.es

Accede a todos los labs desde 7,99€/mes

Nuevos labs cada semana. Cancela cuando quieras.

Crear cuenta

BBLabs es la plataforma de laboratorios de bug bounty en español donde aprender bug bounty con vulnerabilidades reales extraídas de reportes pagados en HackerOne, Bugcrowd e Intigriti. Aquí practicas hacking web —XSS, SQLi, IDOR, SSRF, CSRF y más— en entornos descargables, capturas la flag, lees el writeup y aplicas la técnica en programas activos de bug bounty.

BBLabs es la alternativa en español a HackTheBox, TryHackMe y PentesterLab para quienes quieren practicar bug bounty con reportes reales en lugar de CTFs artificiales. Desde 7,99€/mes, sin permanencia.

→ Aprender bug bounty desde cero→ Reportes de bug bounty reales→ BBLabs para empresas y academiasLabsAcademyVulnerabilidadesRanking de huntersLabs de XSSLabs de IDORLabs de SSRFLabs de CSRFHackTheBox alternativaHack4u alternativaTryHackMe alternativaPortSwigger alternativaPentesterLab alternativaBug Bounty Labs comparativaMejores plataformas bug bounty 2026BlogSpoilers¿Qué es el bug bounty?¿Cuánto se gana en bug bounty?OWASP Top 10 explicadoMejores webs para practicar hacking web
Hecho cony código
TérminosPrivacidadComparativa

© 2026 BBLABS v2 — Todos los derechos reservados

HTTP Method Override & Admin Bot Exploitation

Por @gorka

Plataforma de venta de coches premium con un endpoint de cambio de contrasena que acepta tanto POST como GET. Un bot administrador revisa los tickets de soporte y abre todos los links que contienen. Encadena el cambio de metodo HTTP con ingenieria social al bot para conseguir acceso administrativo y exfiltrar datos sensibles del negocio.

124 visitas12 completadosActualizado jun 2026
Iniciar sesión para empezar

Accede a este lab

Entorno seguro y aislado

Crea una cuenta y suscríbete para acceder a todos los labs. Practica en un entorno real y seguro.

Crear cuentaYa tengo cuenta

Hunters que lo han resuelto· 8

benjaminnocervigni1
@benjaminnocervigniHace 1 día
pl4nkton2
@pl4nktonHace 21 días
JO3
@joako233may 2026
pmartinezr
@pmartinezrmay 2026
P
@pablo.reyes-dossierabr 2026
h4xthan
@h4xthanabr 2026
w4tchw0lf
@w4tchw0lfabr 2026
AL
@alndrwlaabr 2026

Objetivos

1
Descubrir que el endpoint de cambio de contrasena acepta peticiones GET ademas de POST
2
Identificar al administrador que revisa los tickets de soporte
3
Construir un link malicioso que cambie la contrasena del administrador en un solo clic
4
Enviar el link a traves del formulario de contacto para que el bot lo abra
5
Acceder al panel de administracion con las credenciales robadas
6
Obtener la flag del dashboard administrativo

Información

Plataforma
HackerOne
Dificultad
Media
Duración
45 min
Bounty
$200
Completados
12
Creador
gorka@gorka

Logro que recibirás

Cuando resuelvas este lab desbloqueas este logro compartible

BBLABS.ESLab Resuelto
Media$200
// achievement_unlocked

HTTP Method Override & Admin Bot Exploitation

CSRFAPI Abuse
jun 2026
gorka
solved_by@gorkaMiembro desde mar 2026
bblabs.es// real bug bounty practice

Writeups de la comunidad

Despliegue

# Opcion 1: autodeploy
./autodeploy.sh

# Opcion 2: manual
docker compose up --build

# Acceder
http://localhost:4000

Compatible con macOS, Linux y Windows (Docker Desktop / WSL).

Para parar:

./autodeploy.sh destroy
# o Ctrl+C si usaste autodeploy
# o: docker compose down -v

La aplicacion

EliteMotors es una plataforma de venta de coches de segunda mano premium. La web incluye:

  • Catalogo de coches — 15 vehiculos con especificaciones detalladas (BMW M3, Porsche 911, Mercedes AMG, etc.)
  • Sistema de usuarios — Registro, login, perfil con cambio de contrasena
  • Soporte / Contacto — Formulario de tickets donde un administrador revisa cada solicitud
  • Panel administrativo — Dashboard con estadisticas de ventas, datos de compradores (PII), gestion de usuarios

La vulnerabilidad

El endpoint /api/auth/change-password esta disenado para recibir peticiones POST con Content-Type: application/x-www-form-urlencoded:

POST /api/auth/change-password
Content-Type: application/x-www-form-urlencoded
Cookie: token=<JWT>

newPassword=nuevaContrasena123

Sin embargo, el mismo endpoint tambien acepta peticiones GET, leyendo los parametros de la URL:

GET /api/auth/change-password?newPassword=nuevaContrasena123
Cookie: token=<JWT>

Esto convierte una accion de estado (cambio de contrasena) en un link de 1-clic.

El bot administrador

El administrador carlos_manager revisa los tickets de soporte cada 15 segundos. Cuando encuentra un link en el mensaje de un ticket, lo abre automaticamente con su sesion activa (cookie JWT).

La cadena de ataque

1. Registrarse → Crear cuenta propia
2. Explorar → Ir a Perfil, cambiar contrasena, observar peticion POST
3. Descubrir → Probar la misma peticion como GET (funciona!)
4. Reconocimiento → Ver tickets → "Assigned to: carlos_manager"
5. Explotar → Enviar ticket con link:
   http://localhost:4000/api/auth/change-password?newPassword=hacked123
6. Esperar → Bot abre el link con sesion de admin → contrasena cambiada
7. Acceso → Login como carlos_manager / hacked123
8. Flag → Panel admin → bb7a98c57b8374c3e00f0f1b3d0e4c57

Solucion interactiva

Accede a /writeup dentro de la aplicacion (requiere login) para una guia paso a paso con botones que ejecutan cada peticion automaticamente.

Colaboradores
antoniorivera@antoniorivera
Actualizado
jun 2026

Acceso al Lab File

Suscríbete para descargar

Crear cuenta

Herramientas

Burp Suite

Prerequisitos

  • - Conocimientos basicos de HTTP (metodos GET vs POST, Content-Type)
  • - Entender como funcionan las cookies de sesion (JWT, httpOnly)
  • - Saber interceptar y analizar trafico HTTP (DevTools o Burp Suite)
  • - Conceptos basicos de CSRF y ataques de 1-clic

Tags

CSRFAPI Abuse