Archives de
Catégorie : Training

WriteUp NightHawk CTF (Training exercises) – PHP Exploit

WriteUp NightHawk CTF (Training exercises) – PHP Exploit

Ce challenge d’entrainement était disponible dans l’attente du NightHawk CTF 2018. Catégorie: Web Points: 1300 pts Énoncé (traduit du chinois) : Take the flag right, Just do it!!! https://shrimphp.herokuapp.com/ Lorsqu’on arrive sur le site, on est accueilli par le code source de la page php: A première vue, à travers ce caractère d’entrée (qui est l’emoji de crevette), on doit Bypass le filtre de caractères, et exécuter une commande dans le “eval(‘die(“‘ . substr($_, 0, 16) . ‘”);’);”. La petite complexité c’est qu’on doit exécuter une commande…

Lire la suite Lire la suite

WriteUp NightHawk CTF (training exercises) – Imagemagick

WriteUp NightHawk CTF (training exercises) – Imagemagick

Ce challenge d’entrainement était disponible dans l’attente du NightHawk CTF 2018. Catégorie: Web Points: 1000 pts Énoncé (traduit du chinois) : Can you find the flag in a directory? There is a flag in server https://flaskimage.herokuapp.com/ En arrivant sur le site on tombe sur une petite interface qui nous propose d’upload une image aux formats : png, jpg, jpeg, gif, mvg, svg On à donc la possibilité d’upload une image mvg (Magic Vector Graphics). On sait également que le “moteur” utilisé…

Lire la suite Lire la suite