Cute Animals Company - TU CTF 2019
Categoria: Web
Description:
Look at this cute website! Why don't you find some cute animals that are hidden from view?
chal.tuctf.com:30000
Solve:
Acessando o link, temos: PorĂ©m, nĂŁo obtivemos muitos resultados, entĂŁo rodei o dirb em cima do site: Ao acessar â/admin.phpâ, somos redirecionados para â/loginform.htmlâ, entĂŁo tentei um sql injection no formulĂĄrio: Na prĂłxima pĂĄgina, Ă© possĂvel ver um login âbro/ultimate699â: Logando com essas credenciais: Redirecionados para â/portal.phpâ: No cĂłdigo fonte de â/portal.phpâ Ă© possĂvel ver um formulĂĄrio com um parĂąmetro âfileâ que seria enviado via GET:
EntĂŁo, passando âfileâ como parĂąmetro e testando alguns payloads, me deparei com um LFI e explorei esse LFI com
file:///etc/passwd
e assim obtendo a flag:
Flag:
TUCTF{m0r3_cut3_4n1m415_c4n_b3_f0und_4t_https://bit.ly/1HU2m5Q}
Comments