Охота на инсайдера

AlfaCTF 2026

Сложность: Easy

Категория: Web, Logic

Автор: Владимир Волков (@v1ru55), SPbCTF

Описание:

В горпкор-комьюнити Entropy есть человек, который всегда знает всё первым: какой дроп будет, какой коллаб анонсируют, какая модель станет хайповой. Его зовут aura_farmer, и его прогнозы никогда не ошибаются.

Вы устали проигрывать ему на каждом дропе и решили выяснить, откуда aura_farmer берёт свои инсайды

Проникните в его аккаунт и найдите источник.

insider-zdf6wond.alfactf.ru/

Переходим по ссылке, я это сделал сразу в Burp Suite.

Регистрируемся и входим

Здесь мы не найдем ничего интересного кроме куки (но еще можно переписываться)))

Переводим из Base64

Burp Decoder

В ней наш логин и хэш пароля:

Ответ на запрос входа

Обратим внимание на вход и выберем Забыли пароль?, от нас потребуют username. Вводим того самого aura_farmer.

Открываем Burp и видим такой ответ:

Мы знаем логин мы знаем хэш пароля, можем получить сессию:

Но мы не входим в его аккаунт, нас встречает 2FA:

Нажимаем Потерял доступ к 2FA? и смотрим ответ:

Получаем в поле totp_secret Shared Secret в формате Base32, ключ, который используется для генерации одноразовых кодов OTP.

Получить код можно использовав онлайн генератор кодов 2FA, например https://2fa.fb.tools/.

Заходим в аккаунт aura_farmer и читаем флаг в одной из переписок.