Прошел почти год с того момента, как я написал свою первую сатью на Хабр. Начал этот путь именно с разбора задания MCTF 2021. Решил продолжить традицию в этом году и написать writeup на интересный таск с MCTF 2022.
Обзор
Для начала перейдем на сайт с заданием и посмотрим его структуру.
Из кликабельных элементов пока заметна только кнопка «Логин«. Нажмем на нее и посмотрим, что будет.
Открывается страница авторизации. Можно пробовать проверить на XSS- и SQL-инъекции, но результата это не даст (еще не время для кавычек). Нужно искать другой путь.
Вспоминаем про название таска — «Dirty logs«.
Попробуем перейти по адресу http://mctf.ru:7777/logs.
Странно, но это сработало, изучим логи и подумаем, что делать дальше…
Проникаем в систему
Похоже на результат журналирования событий нашей страницы авторизации. Набор данных содержит логины