picoCTF2019 logon [Web Exploitation]

The factory is hiding things from all of its users. Can you login as logon and find what they've been looking at? https://2019shell1.picoctf.com/problem/45163/ (link) or http://2019shell1.picoctf.com:45163
Hints: Hmm it doesn't seem to check anyone's password, except for {{name}}'s?

指定されたURLに飛ぶとユーザー名とパスワードを入力できるページが表示される。

スクリーンショット 2020-03-12 9.36.37

Usernameはどんな名前でもいいし、Passwordもどんな文字列でも問題なくログインには成功する。しかし、ログインには成功したけどフラグを見ることができるとは限らないというメッセージと「No flag for you」と表示される。

スクリーンショット 2020-03-12 9.38.55

Google chromeのEditThisCookieを使ってクッキーを確認すると、usernameとpasswordに加えてadminという情報が保存されていることがわかった。

スクリーンショット 2020-03-12 9.40.32

ログインした状態ではFalseとなっているが、これをTrueに変えて再読込するとフラグをゲットできた。

スクリーンショット 2020-03-12 9.59.48

答え:picoCTF{th3_c0nsp1r4cy_l1v3s_6679fcb5}

picoCTF2019 write-upまとめ

いいなと思ったら応援しよう!