Chapristi 2/2 (Web) - FCSC2022

Principe:
Exploiter une SQL injection (via SQLmap parce qu'on n'a pas lu la FAQ)

Infos (cf menu latéral):
🚩 Flaggué! +100 points gagnés —
FCSC{edfaeb139255929e55a3cffe9f3f37cd4e871e5015c4d4ade2b02d77d44019e5}

Les fichiers du challenge sont ceux les mêmes que ceux de Chapristi1

Le challenge

Un autre flag est à prendre, et ça tombe bien: on a vu passer une table `___youw1lln3verfindmyfl4g___` précédemment

On liste les colonnes, on trouve `fstbg0adwb8f5upmg` et on en récupère le contenu

Sans passer par SQLmap, il suffirait de dumper les tables, puis colonnes, puis data (cf une sheet cheat ), ou simplement de s'inspirer des commandes que SQLmap essaie (en passant SQLmap en verbose sur un site vulnérable)

Flag: FCSC{edfaeb139255929e55a3cffe9f3f37cd4e871e5015c4d4ade2b02d77d44019e5}