1. 项目概述从“靶场”到“实战”的必经之路如果你对Web安全感兴趣或者正在学习渗透测试那么“Juice Shop”这个名字你一定不陌生。它不是一个卖果汁的网店而是一个被广泛用于安全学习和技能验证的、故意设计得漏洞百出的Web应用。所谓的“juice shop二星”通常指的是在类似OWASP Juice Shop这样的CTFCapture The Flag或闯关式靶场中成功完成特定难度挑战后获得的成就等级标识。这“二星”背后代表着你已经超越了新手村开始触及Web安全中一些更核心、更典型的漏洞原理与利用手法。我自己在带新人或者自己温故知新时Juice Shop都是首推的“练功房”。它好就好在环境统一、漏洞类型全面从简单的注入、跨站脚本XSS到复杂的业务逻辑漏洞、不安全的反序列化应有尽有。拿到“二星”意味着你已经能够系统性地运用工具和方法而不仅仅是碰运气。这就像学武功扎马步、练套路是“一星”而“二星”则是开始学习如何见招拆招理解每一招背后的意图。接下来我就以一个老手的视角带你拆解通往“二星”路上那些必须掌握的核心思路、实操技巧以及那些容易栽跟头的坑。2. 整体攻关思路与策略规划面对一个像Juice Shop这样的综合性靶场漫无目的地点击测试是效率最低的做法。从“一星”到“二星”的跃升关键在于从“单个漏洞点”的发现转向“系统性测试流程”的应用。2.1 建立标准化的测试流程我的习惯是拿到一个Web应用不管是不是靶场都先走一遍标准的信息收集和侦察流程。对于Juice Shop这一步同样重要尽管它的漏洞是预设的。首先使用浏览器开发者工具F12是基本操作。查看网络请求你会发现一些API端点比如/rest开头的路径这往往暗示着这是一个前后端分离的应用后端提供了RESTful API。前端的逻辑漏洞如客户端校验绕过和后端的API漏洞如未授权访问、参数污染测试方向就由此分化。其次一定要完整地浏览一遍网站的所有功能点用户注册、登录、商品浏览、搜索、购物车、结账、用户资料管理、文件上传、评价反馈等等。用思维导图或者简单的笔记列出所有功能模块和输入点。Juice Shop的“二星”挑战往往就藏在这些看似平常的功能背后。注意不要一上来就用自动化扫描器狂轰滥炸。对于学习而言手动测试和理解漏洞成因远比得到一个漏洞结果更重要。自动化工具可以作为辅助比如用Burp Suite的爬虫功能帮你梳理网站结构但核心的测试逻辑必须由你掌控。2.2 漏洞类型的优先级与关联性思考Juice Shop覆盖了OWASP Top 10的大部分漏洞类型。在攻关时可以按照“由易到难”、“由高频到低频”的顺序进行测试注入类SQLi NoSQLi Command Injection这是基础中的基础。任何用户输入点搜索框、登录框、参数都是怀疑对象。尝试经典的、、\看是否有错误回显再尝试 OR 11这类Payload。跨站脚本XSS同样是高频漏洞。在所有能输入文本并回显的地方测试比如评价、用户名、搜索关键词。先试简单的scriptalert(1)/script再尝试绕过可能的过滤器。敏感信息泄露检查前端代码HTML/JS注释、HTTP响应头、robots.txt文件、甚至错误信息。Juice Shop经常在注释里藏提示Flag或密码。认证与授权漏洞尝试越权操作。用普通用户A登录后能否直接访问或修改用户B的资料IDOR - 不安全的直接对象引用是否有API接口无需认证即可调用业务逻辑漏洞这是提升到“二星”的关键。比如修改购物车商品价格为负数或零、重复提交订单、优惠券逻辑绕过、竞态条件等。这需要你对业务流程有深入理解。这些漏洞类型不是孤立的。一个SQL注入点可能帮你拿到管理员密码敏感信息泄露从而完成垂直越权授权漏洞。建立起这种关联性思维你的测试效率会大大提升。3. 核心漏洞场景深度解析与实战下面我们针对几个典型的“二星”难度场景进行深度拆解。我会假设一个具体的挑战目标并展示完整的思考与操作过程。3.1 场景一利用NoSQL注入绕过登录认证很多现代应用使用MongoDB等NoSQL数据库。Juice Shop就有相关的挑战。假设我们遇到一个登录接口后端使用MongoDB查询用户。常规测试在用户名和密码框输入或可能没有典型的SQL错误。这时就要考虑NoSQL注入。原理分析NoSQL查询可能类似db.users.find({username: req.body.username, password: req.body.password})。如果我们能控制输入的结构而不仅仅是值就有可能改变查询逻辑。实操步骤拦截登录请求使用Burp Suite或浏览器开发者工具的网络面板。将请求体通常是JSON从{username:test,password:test}修改为{username:admin,password:{$ne: null}}。这个Payload的含义是查询用户名为“admin”且密码“不等于null”的记录。由于数据库中admin用户的密码字段肯定不为null所以这个查询条件恒真从而绕过密码验证。更常见的Payload是{username:admin,password:{$ne:wrongpass}}或者使用$regex操作符进行盲注。避坑心得注意请求的Content-Type。如果是application/json才能直接注入JSON对象。如果是application/x-www-form-urlencoded可能需要尝试不同的语法比如usernameadminpassword[$ne]。不是所有支持JSON的接口都容易受到此攻击。如果后端对输入进行了严格的类型转换如始终将密码转换为字符串则注入可能失败。多尝试不同的操作符如$gt$regex。这个漏洞的利用成功直接让你以其他用户如admin身份登录是典型的认证绕过对应Juice Shop中的相关挑战。3.2 场景二挖掘与利用隐蔽的API接口未授权访问现代单页应用SPA大量依赖API。这些API可能没有在前端显式调用但依然存在。侦察过程主动爬取使用Burp Suite的Target - Site map功能或者使用gobuster、dirsearch等工具对/api/rest/v1等目录进行爆破。# 示例命令实际路径需根据情况调整 gobuster dir -u http://juice-shop靶场地址/ -w /path/to/common-api-words.txt -x js,json被动发现浏览网站时Burp Suite的Proxy历史记录会捕获所有请求。仔细查看每一个JS文件.js的源代码搜索/apifetchaxios.get(.post(等关键词可能会发现前端未使用但后端存在的API端点。分析JavaScript文件在开发者工具的Sources面板中找到主要的app.js或chunk文件。格式化后搜索“admin”、“user”、“delete”、“upload”等敏感词汇可能找到对应的API路径。漏洞利用假设我们发现了一个/api/admin/users的接口通过GET请求可以列出所有用户。直接在浏览器访问http://靶场地址/api/admin/users。如果返回401/403错误尝试在已登录的状态下访问携带当前用户的Cookie。如果登录后普通用户访问成功这就是一个水平越权漏洞看到了其他用户信息。如果普通用户访问失败但我们可以通过某种方式如修改用户ID为admin访问到则是垂直越权。更隐蔽的是这个接口可能接受POST请求来创建或删除用户。尝试使用Burp Repeater模块将GET请求改为POST并构造相应的JSON数据体进行测试。核心要点对于API测试务必测试所有HTTP方法GET POST PUT DELETE PATCH。一个GET请求安全的接口其DELETE接口可能是不安全的。3.3 场景三客户端业务逻辑漏洞价格操控这是业务逻辑漏洞的经典例子在Juice Shop的购物车功能中很可能出现。测试过程添加一个商品到购物车。拦截“更新购物车”或“结账”前的任何一个请求通常是更新商品数量或计算总价的请求。在请求参数中寻找代表商品价格的参数如pricetotalitemPrice。尝试修改其值。例如将price: 19.99修改为price: 0.01或price: -1。提交请求观察前端显示的总价和后端是否成功以低价创建订单。深入利用如果修改单个商品价格失败可以尝试修改商品数量为负数quantity: -1这可能导致总价计算出现负数从而在结账时“增加”你的余额。拦截整个订单提交的请求查看其中是否包含一个计算好的“总价”字段。尝试直接修改这个总价为任意值。关键点永远不要相信客户端传来的任何与金额、库存、权限相关的数据。服务器端必须进行二次校验。作为攻击者我们的工作就是找出服务器端校验缺失的环节。实操记录在一次测试中我拦截到请求体为{productId: 10, quantity: 1}。我将其改为{productId: 10, quantity: -100}。提交后购物车总价显示为巨大的负数。在结账时系统错误地将这个负数作为抵扣最终以近乎零的成本完成了订单。这个漏洞的利用直接对应“购买所有商品”或“以极低成本购物”这类挑战。4. 工具链的协同与高效利用工欲善其事必先利其器。从“一星”到“二星”工具的使用应从单一走向协同。4.1 浏览器开发者工具你的第一道侦察兵除了看Console和Network这些高级用法很重要Sources面板断点调试对于复杂的客户端逻辑漏洞如优惠券验证代码在前端直接在JS代码中设置断点单步执行观察变量变化可以精准定位校验逻辑。Application面板仔细检查Local Storage、Session Storage、Cookies。有时Flag或敏感令牌就藏在这里。检查Cookie的HttpOnly、Secure属性是否缺失。Overrides功能你可以覆盖服务器返回的JS或HTML文件。例如你可以将一段客户端的价格校验代码直接覆盖为空函数从而轻松绕过前端校验专注于测试后端漏洞。4.2 Burp Suite中枢神经系统Burp是渗透测试的核心。对于Juice ShopProxy Repeater这是最常用的组合。拦截、修改、重放请求。Intruder用于爆破和模糊测试。比如当你发现一个参数可能存在SQL注入但需要遍历大量Payload时就用Intruder。也可以用于枚举用户IDIDOR、目录等。Scanner虽然学习时以手动为主但Burp的主动扫描器可以作为补充帮你发现一些容易遗漏的简单漏洞如明文传输的密码、缺少安全头等。切记在授权测试中使用靶场随意。Target - Site Map这里会自动生成整个网站的地图包括通过JS动态加载的接口非常有利于全面了解应用结构。4.3 命令行辅助工具查漏补缺curl快速测试API接口尤其是在验证未授权访问时一条命令就能搞定curl -v http://靶场/api/sensitive-data。sqlmap当手动确认存在SQL注入点后可以用sqlmap进行自动化利用获取数据库数据。命令示例sqlmap -u http://靶场/search?qtest --batch --dbs。但强烈建议先手动验证和理解注入原理。自定义脚本Python对于复杂的业务逻辑漏洞比如需要连续发送多个特定顺序的请求竞态条件攻击写一个简单的Python脚本使用requests库比手动操作可靠得多。5. 常见问题排查与心态调整即使在Juice Shop这样的标准靶场你也会遇到各种“卡关”的情况。以下是一些常见问题及解决思路问题1我明明按照Writeup解题记录的Payload输入为什么没用可能原因1环境差异。Juice Shop版本可能已更新漏洞点或防护机制有变化。不要完全依赖旧版Writeup。可能原因2输入点错误。Payload需要注入到特定的参数中你可能拦截错了请求或者修改的不是后端真正处理的参数。用Burp多拦截几个不同操作触发的请求试试。排查技巧开启Burp的代理历史记录仔细对比你的请求和Writeup中的请求从URL、参数名、参数格式JSON/Form、请求头Content-Type逐一比对。问题2没有错误回显我怎么判断是否存在漏洞转向“盲注”思维对于SQL注入尝试使用基于布尔真/假或基于时间的盲注Payload。例如输入 AND sleep(5)--观察页面响应是否延迟5秒。关注细微差异对比正常请求和攻击请求的响应。长度、响应时间、某个HTML标签内的一个单词变化、一个标点符号的增减都可能是“盲注”成功的标志。Burp的Comparer功能可以帮你高亮显示两个响应间的差异。问题3我感觉所有地方都试过了还是找不到漏洞。回归信息收集再仔细翻一遍前端代码的注释查看每一个JS文件。Juice Shop的提示Hint往往就在注释里。扩大测试面你是否测试了文件上传功能的所有变种修改后缀、双写后缀、修改Content-Type、图片马是否测试了所有HTTP方法是否尝试了不同角色的账户注册两个普通用户互相测试越权利用“评分板”或“挑战列表”Juice Shop通常有一个挑战列表里面会简要描述挑战内容。这本身就是最重要的提示。比如“以低于50元的价格购买所有商品”这直接指向价格操控逻辑漏洞。心态调整 “二星”意味着难度提升卡住是常态。我的经验是一旦卡住超过半小时就果断去做点别的或者换一个挑战。很多时候灵感会在你放松的时候突然出现。渗透测试不仅是技术活也是耐心和思维的较量。把每一次“卡关”都当成是学习一种新漏洞或新思路的机会而不是失败。当你通过自己的思考最终解开一个难题时那种对漏洞原理的理解深度是直接看答案无法比拟的。这“二星”的含金量也就体现在这里了。