POST This Money

Catégorie: Web Difficulté: - Flag: CTFREI{p05t_1nj3ct10n_15_4w350m3!}

Challenge

Description

Challenge d'introduction au Web, achète le flag si tu peux !

ATTENTION: PAS BESOIN ET INTERDICTION D'UTILISER DES OUTILS DE SCAN/FUZZING (nmap, ffuf, gobuster, dirb, etc). Leur utilisation risque de vous faire bannir temporairement du challenge !

Ce challenge tourne sur un docker et n'est pas disponible

Solution

Utilisons Burp Suite pour faciliter l'étude des requêtes réseau.

La première chose à faire est de se rendre sur le site et appuyer sur tous les boutons pour voir ce qu'il se passe. On commence avec un solde à 100$ et après avoir acheté un item random à 10$, le nouveau solde tombe à 90$.

Si l'on essaie d'achter le flag à 99999$, on nous dit que notre solde est insuffisant.

Heureusement, notre solde actuel est passé dans les données de la requête POST. On peut alors le changer avant de faire la requête pour voir si c'est bien la valeur que nous envoyons qui est utilisée pour vérifier si nous avons l'argent.

PrécédentSQLi SuivantGive me my Flask PIN

Dernière mise à jour il y a 9 mois

Cet article vous a-t-il été utile ?