Description
Nous avions un fichier png
Continuer la lecture de [MMA 2015] [Stegano – Nagoya Castle] Write Up
Nous avions un fichier png
Continuer la lecture de [MMA 2015] [Stegano – Nagoya Castle] Write Up
Loguez-vous en tant qu’admin et récupérez le flag.
Le flag est le password de l’admin.
Vous pouvez utiliser test:test.
Continuer la lecture de [MMA 2015] [Web – Login as Admin] Write Up
Le script d’upload retire tous les /<\?|php/. Donc, vous ne pouvez pas lancer du php.
Vous pouvez seulement uploader des fichier dont le nom est capturé par la regexp /^[a-zA-Z0-9]+\.[a-zA-Z0-9]+$/.
Continuer la lecture de [MMA 2015] [Web – Uploader] Write Up
C’est la fin du MMA CTF.
Le jeu a duré deux jours (du 5 au 6 Septembre) et était vraiment sympa. Il y avait plein de bonnes épreuves et de bonnes équipes !
Nous avons terminé 62/6722 (627 équipes ayant au moins résolu une épreuve). C’est dans les premiers 10% \o/
Sur la page d’accueil, nous avons un formulaire demandant l’heure en secondes, ainsi qu’une frame pointant vers un fichier .cgi, qui lui, affiche l’heure en toutes lettres.
Notre 1ère idée a été de faire un script qui se synchronise avec l’heure affichée par le .cgi afin de renvoyer l’heure exacte en secondes, au bon moment, mais cela n’a rien donné.
L’idée suivante a été meilleure, un script cgi, une faille, ne serait-ce pas une exploitation de notre chère vulnérabilité shellshock ?