Web - Serveur

mardi 8 octobre 2019, 01:17  #1
Server Side Request Forgery
nebo
nebo
  • 7 posts

Hello,

Je pense qu’il y a un soucis au niveau du serveur en backend (je ne donne pas d’infos volontairement), il filtre le caractère ’ ?’ utilisé dans php et j’ai testé tout les autres.
Je suis donc bloqué à ce niveau là, j’ai bien découvert le port ouvert, je sais dumper les infos dans un fichier visible en http.
Merci de votre aide.

jeudi 10 octobre 2019, 00:51  #2
Server Side Request Forgery
nebo
nebo
  • 7 posts

Ok j’ai trouvé comment passer le caractère en question, ne reste plus qu’a rooter on dirait maintenant :)

dimanche 13 octobre 2019, 22:19  #3
Server Side Request Forgery
nebo
nebo
  • 7 posts

Ok j’ai bien récupéré le flag, je l’ai mis dans le formulaire du CTF, message comme quoi "nebo a wooté la box" en vert qui semble valider le challenge mais le challenge apparait non validé (il y a 2 jours de ça).
J’avais revalidé une 2ième fois pour être sur.
Une idée de ce qui peut se passer ?

Merci :)

dimanche 13 octobre 2019, 23:11  #4
Server Side Request Forgery
Th1b4ud
Th1b4ud
  • 1636 posts

Le fichier /passwd permet de valider la box SSRF Box dans le CTF ATD. Or si tu veux valider le challenge dans la section web-serveur il faut que tu trouves un autre flag

lundi 21 octobre 2019, 23:25  #5
Server Side Request Forgery
nebo
nebo
  • 7 posts

Ok j’ai fini par le valider :)

samedi 26 octobre 2019, 02:48  #6
[CLOS] Server Side Request Forgery
Ech0
Ech0
  • 328 posts

clos