Give me my Flask PIN

Catégorie: Web Difficulté: - Flag: CTFREI{W3rkz3ug_P1N_1s_Us3ful_:0}

Challenge

Description

Suite du challenge "POST This Money", il vous faut le résoudre avant de pouvoir faire celui-ci

ATTENTION: PAS BESOIN ET INTERDICTION D'UTILISER DES OUTILS DE SCAN/FUZZING (nmap, ffuf, gobuster, dirb, etc). Leur utilisation risque de vous faire bannir temporairement du challenge !

Le flag est dans le fichier flag.txt

Ce challenge tourne sur un docker et n'est pas disponible

Solution

Le titre est assez clair, le serveur utilise Flask. Une autre façon de le savoir, c'est en regardant les entêtes d'une réponse du serveur. "Werkzeug" est la librairie utilisée par Flask.

Werkzeug possède un mode DEBUG, accessible via /console. Celui-ci demande un code PIN, que nous avons eu en résolvant le challenge précédent (POST This Money).

Maintenant nous pouvons exécuter du python directement sur le serveur, il faut donc ouvrir et lire le fichier flag.txt :

PrécédentPOST This Money SuivantAccess

Mis à jour il y a 11 mois

Ce contenu vous a-t-il été utile ?