picoCTF2019 logon [Web Exploitation]
The factory is hiding things from all of its users. Can you login as logon and find what they've been looking at? https://2019shell1.picoctf.com/problem/45163/ (link) or http://2019shell1.picoctf.com:45163
Hints: Hmm it doesn't seem to check anyone's password, except for {{name}}'s?
指定されたURLに飛ぶとユーザー名とパスワードを入力できるページが表示される。
Usernameはどんな名前でもいいし、Passwordもどんな文字列でも問題なくログインには成功する。しかし、ログインには成功したけどフラグを見ることができるとは限らないというメッセージと「No flag for you」と表示される。
Google chromeのEditThisCookieを使ってクッキーを確認すると、usernameとpasswordに加えてadminという情報が保存されていることがわかった。
ログインした状態ではFalseとなっているが、これをTrueに変えて再読込するとフラグをゲットできた。
答え:picoCTF{th3_c0nsp1r4cy_l1v3s_6679fcb5}