WriteUp - ShellterLabs - O desafio oculto
Desde pequeno,
sempre fui paixonado por “”crack-mes””, e sempre senti muita
falta de alguma plataforma que fosse um bom agregador de desafios do
tipo. Então, durante uma palestra da roadsec, fui apresentado a algo chamado "ShellterLabs"
Não pensei duas
vezes, criei a minha conta. Pensei em iniciar uma série de
posts, espécies de “write-
ups”, detalhando parte das insanidades que penso para resolver os desafios.
O site tem uma parte
onde ele dá uma breve (brevíssima, chega ser tosco)
Mas foi aí que…
isso me soa um
desafio…
Ok! Vamos Começar!
Primeiramente vamos analizar o que está sendo dito.
Primeiro, é dito que há um link escondido da source code do site, então:
PASSO 1 - Acessar a source code do site
Bom, acessar a
source de uma página é algo extremamente fácil, basta adicionar
view-source: na frente da url.
Agora que temos ela, vamos procurar pelo link
PASSO 2 - Em busca do link perdido
Usei um ctrl + f e procurei por
“http”, alguns enters e… Tá, foi mais fácil
que eu imaginava! Achei o link em menos de 30 segundos...
De início, fiquei
bem assustado. Logo de Início me jogam em um desafio de nível
““médio”” onde 71% das pessoas o errou… Ok, talvez a moleza acabe por aqui!
Analizando o alvo
Primeiramente,
iniciei procurando pelo “robots.txt”, acho que é o passo mais comum e cliché de um pentest...
Bem, aparentemente
ele dá um link para uma página de login, porém, ela não leva a
lugar nenhum :/
Inicialmente, achei
que poderia ter mais algo escondido no código fonte da página,
então, repeti o mesmo processo feito anteriormente, horas de análise
e… nada.
Então abri a aba de
ferramentas de desenvolvedor, comecei a analisar os requests que o
site fazia.
É… Também Não
ajudou muito…
Pensei então em
analisar os cookies criados pelo site, foi aí que veio a surpresa
Editei aquele valor,
substitui para “”true””
É… Até Que isso me
parece uma key…
E sim, isso era uma
key! (Tivemos até mesmo a presença de um bug tosco! Que Honra!)
Comentários
Postar um comentário