Super Secure

Текст задания:

Oscar is more of an offline type of guy. Can you hack in his platform?
Website

Переходим по ссылке из задания, видим логин-форму:

DefCamp CTF Qualification 2017
Начинаем исследовать код страницы и внизу обнаруживаем JavaScript код, в котором видим логин и пароль:

<script>
	function validateForm() {
		var un = document.loginform.usr.value;
		var pw = document.loginform.pword.value;
		var username = "th1s1sn0tadmin3mail"; 
		var password = "averysafesecurepassword"; //also this is bruteforce tested!
		if ((un == username) && (pw == password)) {
			return true;
		}
		else {
			alert ("Login was unsuccessful, please check your username and password");
			return false;
		}
	}
</script>

Вводим их в форму и получаем предупреждение, т. к. первая строка должна содержать email (о чем и свидетельствует type="email"):

DefCamp CTF Qualification 2017
Меняем type="email" на type="text" и успешно отсылаем форму. На открывшейся странице видим текст:

With all do respects! Don't you think I am smarter than you? 
Don't you think I will keep my stuff offline? My secrets are on this website! 
But believe me the only way you can get your hand on it is to get offline! No internet!

Отключаем интернет и получаем флаг:

DefCamp CTF Qualification 2017
Но конец флага не видно. Находим свойство css, где он прописан:

DefCamp CTF Qualification 2017
Флаг: DCTF{76c77d557198ff760ab9866ad1261a01a7298c349617cc4557462f80500d56a7}


3 комментария на “Super Secure

    • Hi
      I got the flag from css — .offline-ui.offline-ui-down.offline-ui-waiting .offline-ui-content[data-retry-in-unit="second"]:before

      p/s
      I updated the writeup. Look at last picture.

Добавить комментарий для admin Отменить ответ

Ваш e-mail не будет опубликован. Обязательные поля помечены *