Прошел почти год с того момента, как я написал свою первую сатью на Хабр. Начал этот путь именно с разбора задания MCTF 2021. Решил продолжить традицию в этом году и написать writeup на интересный таск с MCTF 2022.

Обзор

Для начала перейдем на сайт с заданием и посмотрим его структуру.
Из кликабельных элементов пока заметна только кнопка «Логин«. Нажмем на нее и посмотрим, что будет.

Открывается страница авторизации. Можно пробовать проверить на XSS- и SQL-инъекции, но результата это не даст (еще не время для кавычек). Нужно искать другой путь.

Вспоминаем про название таска — «Dirty logs«.

Попробуем перейти по адресу http://mctf.ru:7777/logs.

Странно, но это сработало, изучим логи и подумаем, что делать дальше…

Проникаем в систему

Похоже на результат журналирования событий нашей страницы авторизации. Набор данных содержит логины