{"id":818,"date":"2015-09-08T01:20:24","date_gmt":"2015-09-07T23:20:24","guid":{"rendered":"https:\/\/0x90r00t.com\/fr\/?p=818"},"modified":"2015-09-08T16:59:32","modified_gmt":"2015-09-08T14:59:32","slug":"mma-ctf-web-login-as-admin-write-up","status":"publish","type":"post","link":"https:\/\/0x90r00t.com\/fr\/2015\/09\/08\/mma-ctf-web-login-as-admin-write-up\/","title":{"rendered":"[MMA 2015] [Web – Login as Admin] Write Up"},"content":{"rendered":"

Description<\/h2>\n

Loguez-vous en tant qu’admin et r\u00e9cup\u00e9rez le flag.
\nLe flag est le password de l’admin.
\nVous pouvez utiliser test:test.<\/p><\/blockquote>\n

<\/p>\n

Resolution<\/h2>\n

Nous nous retrouvons devant une basique page d’identification, avec deux champs, un pour le nom d’utilisateur, l’autre pour le mot de passe.<\/p>\n

Lorsqu’on se logue avec les identifiants de test,\u00a0 nous arrivons sur une page contenant le message \u00ab\u00a0Vous \u00eates l’utilisateur test.\u00a0\u00bb ainsi qu’un lien pour se d\u00e9loguer.<\/p>\n

Rien de sp\u00e9cial ici, on va donc essayer de se loguer en tant qu’admin avec une injection SQL classique.<\/p>\n

Imaginons \u00e0 quoi peut ressembler la requ\u00eate SQL d’identification :<\/p>\n

\r\nSELECT login, password FROM users WHERE login='$login' AND password='$password'\r\n<\/pre>\n
En partant de cette id\u00e9e, il suffit d’envoyer \u00ab\u00a0admin'--<\/code>\u00a0\u00bb dans $login<\/code> pour s’identifier en tant qu’admin sans devoir saisir de password.<\/p>\n
On se retrouve bien logu\u00e9 en tant qu’admin, mais un message s’est ajout\u00e9 en nous disant que le flag est dans le mot de passe de l’admin.<\/p>\n
Revoyons alors notre requ\u00eate SQL afin de remplacer le nom d’utilisateur affich\u00e9 apr\u00e8s s’\u00eatre logu\u00e9 par le mot de passe de l’admin \u00e0 l’aide d’une injection par UNION :<\/p>\n
\r\n' UNION SELECT password,password FROM user WHERE user='admin'--\r\n<\/pre>\n
Comme le login \u00ab\u00a0\u00a0\u00bb (vide) n’existe pas, c’est notre requ\u00eate qui est prise en compte pour le SELECT, dans lequel nous demandons \u00e0 r\u00e9cup\u00e9rer le password dans les deux colonnes utilis\u00e9es dans la page d’apr\u00e8s identification.<\/p>\n
\"\"<\/a><\/p>\n
Parfait !<\/p>\n
Le flag est : MMA{cats_alice_band}<\/code><\/p>\n","protected":false},"excerpt":{"rendered":"
Description Loguez-vous en tant qu’admin et r\u00e9cup\u00e9rez le flag. Le flag est le password de l’admin. Vous pouvez utiliser test:test.<\/p>\n","protected":false},"author":9,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[34,35,52],"tags":[19,58,57,56],"class_list":["post-818","post","type-post","status-publish","format-standard","hentry","category-2015-fr","category-ctf-fr","category-mma-2015-fr","tag-web","tag-injection","tag-sql","tag-warmup"],"_links":{"self":[{"href":"https:\/\/0x90r00t.com\/fr\/wp-json\/wp\/v2\/posts\/818","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/0x90r00t.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/0x90r00t.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/0x90r00t.com\/fr\/wp-json\/wp\/v2\/users\/9"}],"replies":[{"embeddable":true,"href":"https:\/\/0x90r00t.com\/fr\/wp-json\/wp\/v2\/comments?post=818"}],"version-history":[{"count":7,"href":"https:\/\/0x90r00t.com\/fr\/wp-json\/wp\/v2\/posts\/818\/revisions"}],"predecessor-version":[{"id":885,"href":"https:\/\/0x90r00t.com\/fr\/wp-json\/wp\/v2\/posts\/818\/revisions\/885"}],"wp:attachment":[{"href":"https:\/\/0x90r00t.com\/fr\/wp-json\/wp\/v2\/media?parent=818"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/0x90r00t.com\/fr\/wp-json\/wp\/v2\/categories?post=818"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/0x90r00t.com\/fr\/wp-json\/wp\/v2\/tags?post=818"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}