Roskyfrosky


Writeup [Web] FWHIBBIT 2017

21 Feb 2017 » web

Hate

Points: 200
Country: Madagascar
Link: http://web5.ctf.followthewhiterabbit.es/
Description: There is a phisher who pretends to be us, can you help us to pwn him?

Entramos en la página y lo primero que hacemos es mirar el código fuente de la página donde encontramos que hay una zona privada.

Web Madagascar

Accedemos a http://web5.ctf.followthewhiterabbit.es/admin.php y volvemos a mirar el source de la página y vemos que nos indica cuales son las credenciales:

Web Madagascar

Metemos las credenciales que nos indican (admin: admin) y nos aparece un upload para subir ficheros en el cuál indican que debe de ser un zip:

Web Madagascar

Trás varias pruebas vemos que al subirel fichero zip, lo desempaqueta, comprueba si existe el fichero y en caso correcto muestra el resultado. Como en el enunciado nos dicen que la flag está en /etc/flag creamos un link simbólico y lo empaquetamos.

Web Madagascar

Subimos el Zip y nos muestra la flag:

Web Madagascar