17GraphQL API Labs

靶场地址：https://portswigger.net/web-security/all-labs#graphql-api-vulnerabilities

## 访问私人 GraphQL 帖子

任务：请找到隐藏的博客文章并输入密码。

1、观察网站有四篇文章，不难发现改变postId参数的传参就可以访问不同的文章。

![image-20250816143648998](https://oss.maolin101.com/image-20250816143648998.png-101.webp)

![image-20250816143658820](https://oss.maolin101.com/image-20250816143658820.png-101.webp)

2、当传参为3时，发现访问不了

![image-20250816143846785](https://oss.maolin101.com/image-20250816143846785.png-101.webp)

3、通过burp进行抓包，找到graphql，将该数据包发送到repeater模块中。

![image-20250816144607747](https://oss.maolin101.com/image-20250816144607747.png-101.webp)

4、将参数改为3，再进行发包观察

![image-20250816144816771](https://oss.maolin101.com/image-20250816144816771.png-101.webp)

成功访问

![image-20250816144854679](https://oss.maolin101.com/image-20250816144854679.png-101.webp)

5、通过burp自带的自省查询，在响应包中找到了postPassword字段。

![image-20250816150443372](https://oss.maolin101.com/image-20250816150443372.png-101.webp)

![image-20250816150452381](https://oss.maolin101.com/image-20250816150452381.png-101.webp)

6、添加postPassword字段。

![image-20250816150227452](https://oss.maolin101.com/image-20250816150227452.png-101.webp)

## 意外暴露私有 GraphQL 字段

任务：以管理员身份登录并删除用户名`carlos`

1、既然以管理员的身份，就先尝试登录口。

![image-20250816150828376](https://oss.maolin101.com/image-20250816150828376.png-101.webp)

2、在burp 的http history中发现/graphql/v1

![image-20250816150908147](https://oss.maolin101.com/image-20250816150908147.png-101.webp)

3、发送到repeater模块中，鼠标右键选择**GraphQL > Set introspection query**，自省能力

![image-20250816151013534](https://oss.maolin101.com/image-20250816151013534.png-101.webp)

![image-20250816151042249](https://oss.maolin101.com/image-20250816151042249.png-101.webp)

4、将数据包发送到站点地图【site map】模块中。

Burp 的站点地图本质是对目标应用所有可访问资源（如页面、API 端点、参数、数据类型等）的结构化梳理。

![image-20250816151216900](https://oss.maolin101.com/image-20250816151216900.png-101.webp)

5、观察站点地图，发现有不同的请求类型。

![image-20250816151411315](https://oss.maolin101.com/image-20250816151411315.png-101.webp)

6、找到getUser类型，很明显可以观察到，通过传入id，返回id对应的账户名和密码，将数据包发送到repeater模块中。

![image-20250816151818886](https://oss.maolin101.com/image-20250816151818886.png-101.webp)

7、改变ID，查询数据。

![image-20250816151847632](https://oss.maolin101.com/image-20250816151847632.png-101.webp)

![image-20250816152101432](https://oss.maolin101.com/image-20250816152101432.png-101.webp)

8、登录管理员账户，删除账户。

![image-20250816152041013](https://oss.maolin101.com/image-20250816152041013.png-101.webp)

## 查找隐藏的 GraphQL 端点

任务：请找到隐藏的端点并删除`carlos`。

1、观察目标网站，为购物网站，每件商品有详情页，还有登录功能，尝试进行登录。

商品的详情页通过productId传参

![image-20250816160251805](https://oss.maolin101.com/image-20250816160251805.png-101.webp)

![image-20250816160258773](https://oss.maolin101.com/image-20250816160258773.png-101.webp)

![image-20250816155920096](https://oss.maolin101.com/image-20250816155920096.png-101.webp)

2、在burp的http history中没有发现和api相关的链接。

![image-20250816163219129](https://oss.maolin101.com/image-20250816163219129.png-101.webp)

3、猜测后缀并且输入自省语法。

```
/api?query={__typename}
```

![image-20250816163245293](https://oss.maolin101.com/image-20250816163245293.png-101.webp)

![image-20250816163338569](https://oss.maolin101.com/image-20250816163338569.png-101.webp)

4、通过burp自带的自省语句。**GraphQL > Set introspection query。**

![image-20250816163525749](https://oss.maolin101.com/image-20250816163525749.png-101.webp)

![image-20250816163538261](https://oss.maolin101.com/image-20250816163538261.png-101.webp)

被拦截，尝试绕过。

5、在__schema后加入%0a，尝试绕过。

```txt
/api?query=query+IntrospectionQuery+%7B%0D%0A++__schema%0a+%7B%0D%0A++++queryType+%7B%0D%0A++++++name%0D%0A++++%7D%0D%0A++++mutationType+%7B%0D%0A++++++name%0D%0A++++%7D%0D%0A++++subscriptionType+%7B%0D%0A++++++name%0D%0A++++%7D%0D%0A++++types+%7B%0D%0A++++++...FullType%0D%0A++++%7D%0D%0A++++directives+%7B%0D%0A++++++name%0D%0A++++++description%0D%0A++++++args+%7B%0D%0A++++++++...InputValue%0D%0A++++++%7D%0D%0A++++%7D%0D%0A++%7D%0D%0A%7D%0D%0A%0D%0Afragment+FullType+on+__Type+%7B%0D%0A++kind%0D%0A++name%0D%0A++description%0D%0A++fields%28includeDeprecated%3A+true%29+%7B%0D%0A++++name%0D%0A++++description%0D%0A++++args+%7B%0D%0A++++++...InputValue%0D%0A++++%7D%0D%0A++++type+%7B%0D%0A++++++...TypeRef%0D%0A++++%7D%0D%0A++++isDeprecated%0D%0A++++deprecationReason%0D%0A++%7D%0D%0A++inputFields+%7B%0D%0A++++...InputValue%0D%0A++%7D%0D%0A++interfaces+%7B%0D%0A++++...TypeRef%0D%0A++%7D%0D%0A++enumValues%28includeDeprecated%3A+true%29+%7B%0D%0A++++name%0D%0A++++description%0D%0A++++isDeprecated%0D%0A++++deprecationReason%0D%0A++%7D%0D%0A++possibleTypes+%7B%0D%0A++++...TypeRef%0D%0A++%7D%0D%0A%7D%0D%0A%0D%0Afragment+InputValue+on+__InputValue+%7B%0D%0A++name%0D%0A++description%0D%0A++type+%7B%0D%0A++++...TypeRef%0D%0A++%7D%0D%0A++defaultValue%0D%0A%7D%0D%0A%0D%0Afragment+TypeRef+on+__Type+%7B%0D%0A++kind%0D%0A++name%0D%0A++ofType+%7B%0D%0A++++kind%0D%0A++++name%0D%0A++++ofType+%7B%0D%0A++++++kind%0D%0A++++++name%0D%0A++++++ofType+%7B%0D%0A++++++++kind%0D%0A++++++++name%0D%0A++++++%7D%0D%0A++++%7D%0D%0A++%7D%0D%0A%7D%0D%0A
```

![image-20250816164014516](https://oss.maolin101.com/image-20250816164014516.png-101.webp)

6、成功之后，将数据包发送到站点地图模块，方便观察。

![image-20250816164127631](https://oss.maolin101.com/image-20250816164127631.png-101.webp)

7、找到了一个getUSer。

![image-20250816164306864](https://oss.maolin101.com/image-20250816164306864.png-101.webp)

8、将数据包发送到repeater模块中，更改id参数，以获得不同的username。

![image-20250816164447585](https://oss.maolin101.com/image-20250816164447585.png-101.webp)

![image-20250816164500050](https://oss.maolin101.com/image-20250816164500050.png-101.webp)

![image-20250816164521282](https://oss.maolin101.com/image-20250816164521282.png-101.webp)

找到了目标账号对应的id号。

8、回到站点地图，发现还有一个数据包，观察命名，好像是可以通过id删除用户账号。

![image-20250816164720476](https://oss.maolin101.com/image-20250816164720476.png-101.webp)

9、发送到repeater模块中，将id修改为3，请求成功。

![image-20250816164845767](https://oss.maolin101.com/image-20250816164845767.png-101.webp)

10、刷新目标网站，通关。

![image-20250816164922510](https://oss.maolin101.com/image-20250816164922510.png-101.webp)