Writeup Bypass Me 2 – HoneyCON18

¡Hola! Hoy traigo otro writeup de un reto del CTF de HoneyCON de la edición de 2018.

Nada más entrar al reto nos encontramos el siguiente enunciado:

Cuando entramos en la web del reto, lo que encontramos es esto:

Que es prácticamente igual que el anterior. Así que como anteriormente, lo primero que hago es introducir usuario y contraseña.

Nos dice que es incorrecto el usuario o la contraseña.

Si acercamos la url vemos algo que puede ser interesante.

Pasa por la url el usuario y contraseña y ya por inercia lo que hago es ponerle unos corchetes en password para que lo trate como un array. (El porqué lo tenéis explicado al final en https://www.owasp.org/images/6/6b/PHPMagicTricks-TypeJuggling.pdf )Por incercia vamos convertir password en array. *Explicar porqué ocurre esto

Entonces entro a la url y…

¡Ya tenemos la flag!

Un saludo, @RaSr98.

local_offerevent_note diciembre 13, 2018

account_box Rafael Sojo


local_offer

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *