 |
|
14.05.2025, 14:10
|
|
Новичок
Регистрация: 14.05.2025
Сообщений: 0
С нами:
528749
Репутация:
0
|
|
Всем привет, заранее извините, если префикс выбрал не тот, я на форуме новичок, как впрочем и в CTF.
Наткнулся на задачу от Яндекса:
есть сайт http://158.160.39.5:13355 , на котором изображена картинка с разными заголовками, нужно найти флаг:
Check out this new cool one-pager!
I don't even need to GET images or styles, becase they are embedded into my page
Cool, right?
Как я понял, надо смотреть на какие-то данные в коде страницы или в картинке. Разные утилиты использовал, ничего дельного не нашел.
Как можно охарактеризовать эту задачу, какими методами надо пользоваться? Подскажите!
|
|
|
15.05.2025, 03:23
|
|
Новичок
Регистрация: 12.07.2006
Сообщений: 7
С нами:
10437007
Репутация:
0
|
|
эта картинка это base64
|
|
|
|
15.05.2025, 13:47
|
|
Новичок
Регистрация: 14.05.2025
Сообщений: 0
С нами:
528749
Репутация:
0
|
|
makar сказал(а):
эта картинка это base64
Я уже сделал все, что было в моих силах. Стенографические тулзы использовал, искал вручную флаг в дампе, метаданные смотрел - ничего нет. Тут еще внимание обращается на стили, их тоже прочекал - ничего не нашел. Также тут есть отсылка на метод GET, якобы его использовать не надо, но может и надо) В этом я разобраться не могу пока.
|
|
|
|
15.05.2025, 16:40
|
|
Новичок
Регистрация: 12.07.2006
Сообщений: 7
С нами:
10437007
Репутация:
0
|
|
картинку ниоткуда не берет нету там get. сама картинка это base 64. по идее часть кода (поправьте если не прав не силен в вебе)
дальше не копался там
|
|
|
|
15.05.2025, 17:48
|
|
Новичок
Регистрация: 14.05.2025
Сообщений: 0
С нами:
528749
Репутация:
0
|
|
makar сказал(а):
картинку ниоткуда не берет нету там get. сама картинка это base 64. по идее часть кода (поправьте если не прав не силен в вебе)
дальше не копался там
Да, я понимаю, что картинка встроена в код через base64. Я ее давно скачал как и напрямую, так и через декодирование этого base64. Тут дело в том, что я могу найти ничего в этой картинке. Использовал zsteg, разные steg* утилиты - ничего не нашел. Дальше куда копать не знаю. Может не в картинке дело? В самом коде тоже ничего нет
|
|
|
|
15.05.2025, 19:09
|
|
Новичок
Регистрация: 07.02.2023
Сообщений: 0
С нами:
1719376
Репутация:
0
|
|
Stegodon сказал(а):
Да, я понимаю, что картинка встроена в код через base64. Я ее давно скачал как и напрямую, так и через декодирование этого base64. Тут дело в том, что я могу найти ничего в этой картинке. Использовал zsteg, разные steg* утилиты - ничего не нашел. Дальше куда копать не знаю. Может не в картинке дело? В самом коде тоже ничего нет
aperisolve смотрел?
|
|
|
|
16.05.2025, 01:47
|
|
Новичок
Регистрация: 15.07.2018
Сообщений: 0
С нами:
4121094
Репутация:
0
|
|
Скорее всего там LFI. Попробуй отправить POST-запрос на /setcookie с параметром "style=../../../../etc/passwd" |
|
|
|
26.05.2025, 08:51
|
|
Новичок
Регистрация: 22.07.2024
Сообщений: 0
С нами:
954935
Репутация:
0
|
|
Удалось решить? Думаю там надо поменять в куках "developer":false на "developer":true и правильно закодировать
|
|
|
|
26.05.2025, 19:39
|
|
Новичок
Регистрация: 23.05.2025
Сообщений: 0
С нами:
515814
Репутация:
0
|
|
Проблемы о которых стоит мечтать, именно благодаря им начинается рост
|
|
|
|
27.05.2025, 12:45
|
|
Новичок
Регистрация: 14.05.2025
Сообщений: 0
С нами:
528749
Репутация:
0
|
|
Chthon сказал(а):
Удалось решить? Думаю там надо поменять в куках "developer":false на "developer":true и правильно закодировать
Пока не удалось решить, попытался разобраться с LFI, как писали выше, но ничего дельного не вышло) Скоро, возможно, снова буду пробовать искать флаг.
|
|
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Линейный вид
