Chapristi (Web) - FCSC2022

Chapristi (Web) - FCSC2022

Fichiers du challenge Principe:
Exploiter une SQL injection (via SQLmap parce qu'on n'a pas lu la FAQ)

Le challenge

Il faut trouver un meme chaché caché

Partie 1: SQL(map)injection

Le site, avec des chats, et un champ de recherche
Si on cherche l'apostrophe, on trouve une erreur
Comme il s'agit d'une erreur SQL et que je n'avais pas lu la FAQ, je me suis tourné vers SQLmap
Qui confirme la SQLi (postgresql)
Il suffit alors de lister les tables, et on trouve celle de memes
Avec un meme caché (le 1er), via sqlmap -D public -T memes --dump -u 'https://chatpristi.france-cybersecurity-challenge.fr/?search=lexluthor'
On retourne sur le site et on affiche l'image d'un des memes au pif pour avoir l'URL de base
Et en la remplaçant par l'URL du meme caché 3f5ce7b380dd03c3e71a29b2560323d058ce481fc7f3cdd505b02526af7d484e.jpg, on trouve le flag:
FCSC{1D32671928B0DFD5E0B92B57871B1D49}

Partie 2: encore du SQLi

Un autre flag est à prendre, et ça tombe bien: on a vu passer une table ___youw1lln3verfindmyfl4g___ précédemment
On liste les colonnes, on trouve fstbg0adwb8f5upmg
et on en récupère le contenu:
FCSC{edfaeb139255929e55a3cffe9f3f37cd4e871e5015c4d4ade2b02d77d44019e5}

Sans passer par SQLmap, il suffirait de dumper les tables, puis colonnes, puis data (cf une sheet cheat ), ou simplement de s'inspirer des commandes que SQLmap essaie (en passant SQLmap en verbose sur un site vulnérable)

Le dump et les commandes sont dispo ici

Fichiers du challenge

↩ Retour à la liste des challenges