Un utilisateur suspicieux 1/2 (Divers) - 404CTF2022

Principe:
Exploiter une injection SQLite dans un bot Discord

Infos (cf menu latéral):
🚩 Flaggué! +980 points gagnés — 💾 Téléchargez les fichiers du challenge
404CTF{D1sc0rd_&_injection_SQL}

Le challenge

Le challenge nous demande de faire cracher un flag à un bot, mais je n'ai pas les sources de ce bot

Le bot

Envoyons un MP au bot sur le serveur (et pas à mhackthemhacktic4s!)
Le bot nous donne alors des commandes
La commande "chercher" semble être la seule ayant réellement un effet utile
On peut chercher "tout" (% étant souvent un wildcard de LIKE, * marche aussi parfois), mais à part un premier RickRoll, on ne trouve rien

Injection de commande?

J'ai alors opté pour une injection de commande, potentiellement en SQLite, mais pas grand chose n'en ressort

Pourquoi? Parce que les bots Discord sont souvent auto-portants, et que SQLite permet de stocker la DB (avec le flag) sur la même instance que le code du bot. Et souvent, les bots passent les commandes utilisateurs via la CLI à leur backend (autoporté)
Donc, ça se tentait

SQLite ?

Je teste alors une injection SQL(ite) simple: ça passe, le "1" du UNION apparait en fin de liste
Il faut donc maintenant trouver dans quelle table est stockée le flag
Avant de creuser à l'aveugle, mieux vaut savoir quel SGDB est utilisé…
et en fait, il s'agit de MariaDB! (= MySQL, en gros)

Exploiter l'injection SQL

On cherche donc la Database où peut se trouver le flag
Puis la table
Puis la colonne
Et on va SELECT cette valeur pour avoir le flag
Un calembour gratuit, pour finir ce writeup

Flag: 404CTF{D1sc0rd_&_injection_SQL}