Some tasks..

by Mirror Blog
Some tasks..


Хааай. Сегодня у нас разбор 3 простых тасков с сайта https://ctflearn.com. Я думаю, Вам будет интересно. Ну приступим к первому:

Из описания можно понять, что там sql-уязвимость, переходим к сайту, просматриваем весь код:

"Попробуй эти имена ...", перебираем и на имя Luke нам возвращается ответ. Значит, там есть таблица с именами. Вводим ' OR '1'='1 и смотрим ответ:

Берем флаг и топаем на сайт:

Флаг правильный, идем дальше. Следующий таск:

Из описания: "попробуйте обойти мои меры безопасности на этом сайте", мм. Нуок, работать будем с терминалом. Открываем:

Нас не пускает с этого юзер-агента, а снизу мы можем увидеть комментарий, попробуем использовать его как юзер-агент:

Теперь нам говорят, что надо зайти с этого сайта, добавляем к запросу реферер:

И нам выпадает флаг, берем его и идем на сайт:

И последний таск:

Из описания: "сайт поддерживает авторизацию только через ПОСТ. Тем не менее, кажется, что кто-то испортил наш сайт. Может быть, это еще какой-то способ аутентификации?". Открываем терминал:

Нас не пускает с гет- запросом на сайт, но в комментарии есть логин и пароль. Попробуем с ними:

Нам падает флаг, вводим его на сайте и радуемся:

Вроде бы и все, спасибо за просмотр.

April 2, 2019
by Mirror Blog