Ulli Weichert/ April 7, 2022/ IT-Security, Write-Ups/ 0Kommentare

Secrets

Description

We have several pages hidden. Can you find the one with the flag?
The website is running here.

Solving

  1. Visiting the website does not really help... but the hint tells that there are some folders. Because gobuster or other fuzzing tools in CTF is not really nice to the infrastructure I tested the usual things:

    • robots.txt -> nothing there
    • sitemap.xml -> nothing there

  2. After some further tests I tried the obvious '/secret/' folder... and bam!

  3. In the sourcecode of this page, we can see a '/hidden/' folder.

        <link rel="stylesheet" href="hidden/file.css" />

  4. Goto the hidden folder, we get a new page where we can see a '/superhidden/' folder.

        <link href="superhidden/login.css" rel="stylesheet" />

  5. The new page in the superhidden folder tells us Finally. You found me. But can you see me

  6. Quick look at the source code or selecting everything on the side, will reveal the flag 🙂

#!/bin/bash
curl http://saturn.picoctf.net:49810/secret/hidden/superhidden/ > /dev/null 2>&1| grep -o "picoCTF{.*}"
Share this Post

Über Ulli Weichert

2004 fing Ulli bei der Bundeswehr als Ausbilder und IT-Spezialist an. 2011 hat Ulli eine Umschulung zum Fachinformatiker für Systemintegration absolviert und sich auf Linux spezialisiert. 2016 hat Ulli dann bei einem mittelständischem Unternehmen, welches Kunden in ganz Deutschland betreut, als Linuxadministrator angefangen und kümmert sich seither nebst, Netzwerk, Security, Firewall, Storage überwiegend um Linuxthemen aller Art. Seit kurzem hat auch Ihn das Thema Container und k8s erwischt.

Hinterlasse einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

*
*