Cute Animals Company - TU CTF 2019
Categoria: Web
Description:
Look at this cute website! Why don't you find some cute animals that are hidden from view?
chal.tuctf.com:30000
Solve:
Acessando o link, temos:
Porém, não obtivemos muitos resultados, então rodei o dirb em cima do site:
Ao acessar â/admin.phpâ, somos redirecionados para â/loginform.htmlâ, entĂŁo tentei um sql injection no formulĂĄrio:
Na prĂłxima pĂĄgina, Ă© possĂvel ver um login âbro/ultimate699â:
Logando com essas credenciais:
Redirecionados para â/portal.phpâ:
No cĂłdigo fonte de â/portal.phpâ Ă© possĂvel ver um formulĂĄrio com um parĂąmetro âfileâ que seria enviado via GET:
EntĂŁo, passando âfileâ como parĂąmetro e testando alguns payloads, me deparei com um LFI e explorei esse LFI com
file:///etc/passwd
e assim obtendo a flag:
Flag:
TUCTF{m0r3_cut3_4n1m415_c4n_b3_f0und_4t_https://bit.ly/1HU2m5Q}
Comments