Envoyons un MP au bot sur le serveur (et pas à mhackthemhacktic4s!)
Le bot nous donne alors des commandes
La commande "chercher" semble être la seule ayant réellement un effet utile
On peut chercher "tout"
(% étant souvent un wildcard de LIKE, * marche aussi parfois),
mais à part un premier RickRoll, on ne trouve rien
J'ai alors opté pour une injection de commande, potentiellement en SQLite,
mais pas grand chose n'en ressort
Pourquoi? Parce que les bots Discord sont souvent auto-portants, et que SQLite permet
de stocker la DB (avec le flag) sur la même instance que le code du bot. Et souvent,
les bots passent les commandes utilisateurs via la CLI à leur backend (autoporté)
Donc, ça se tentait
Je teste alors une injection SQL(ite) simple: ça passe, le "1" du UNION apparait en fin de liste
Il faut donc maintenant trouver dans quelle table est stockée le flag
Avant de creuser à l'aveugle, mieux vaut savoir quel SGDB est utilisé…
et en fait, il s'agit de MariaDB! (= MySQL, en gros)
On cherche donc la Database où peut se trouver le flag
Puis la table
Puis la colonne
Et on va SELECT cette valeur pour avoir le flag:
404CTF{D1sc0rd_&_injection_SQL}
Un calembour gratuit, pour finir ce writeup
Principe:
