CTFtime.org / csictf 2020 / Secure Portal
This is a super secure portal with a really unusual HTML file. Try to login.
http://chall.csivit.com:30281
ログインを適当にしてみるが、SQL Injectionの予兆は無い。
このままブラインドでやってみてもいいのだが、ソースコードを見てみると難読化jsが置いてあるので、こっちを先に見てみる。
難読化JSの解読
とりあえず見やすい所を見てみる。
リテラルとしてlocalStoregeとかが入ってるが、何も入ってない。
CheckPassword関数がそのまま残っている。でもどこからも呼ばれてない?
前はこれでやってたけど、もう使ってなくて残ってるみたいなストーリーかな?
あまり考えずにCheckPasswordをとりあえず読んでみると、Local Storegeに色々入ってくる。
これを切り貼りすればよさそう。
``
5W$Fbb=+nBE*pg4t^7M
これがパスワードかな?
Capture the flag
これをパスワードとして入力するとフラグが出てくる。
csictf{l3t_m3_c0nfus3_y0u}