Там вышел новый ресерч Кетла про смаглинг http1mustdie.com, а с ним и новая лаба, я решил выкатить сюда райтап до официального, который будет на стриме Кетла 15 августа, некий эксклюзивчик В начале нужно было понять как смаглить, для этого можно либо самому тыкаться, либо запустить Parser discrepancy scan, который добавили в экстеншн смаглер вместе с выпуском ресерча. Он сразу находит, что можно смаглить табом и пробелом (скрин1) Дальше нужно было проверить есть ли смаглинг и сделать 0.CL, для этого советую вам использовать турбо интрудер(0cl-poc.py), я недолго искал подходящий early-response гаджет, использовал /resources/images/avatarDefault.svg, вы можете пробовать любой другой статик файл. В итоге attack пейлоад выглядел как-то так POST /resources/images/avatarDefault.svg HTTP/1.1 Host: 0a34003e03a3b32f80cf037000a6005e.web-security-academy.net Content-Length : %s После того как у вас получился 0.CL смаглинг, нужно ⚡️ найти гаджет для хсс, а находится он на любом посте в User-Agent хедере, вот пример пейлоада: User-Agent: "/></form></section><img src=x onerror=alert()> ⚡️ зачейнить 0.CL -> CL.0 с запросом с хсс как в ресерче. Всё, осталось только запустить сплоит и ждать пока бот сходить на наш хсс. Я использовал сплоит турбо интрудера 0cl-exploit.py, чуть доработал его и после того как пейлоад отработал на victim в самом скрипте, я убрал запрос victim из него (+ добавил в цикл time.sleep(1), чтоб наверняка сработало на боте) Сплоит выкладывать не буду, чтобы для решения вы не просто копипастили, но скрин сплоита выложу. (если уж сильно хочется решить, будете переписывать с картинки 😁)