picoCTF2019 logon [Web Exploitation]

picoCTF 2019 - Homepage

The factory is hiding things from all of its users. Can you login as logon and find what they've been looking at? https://2019shell1.picoctf.com/problem/45163/ (link) or http://2019shell1.picoctf.com:45163

Hints: Hmm it doesn't seem to check anyone's password, except for {{name}}'s?

指定されたURLに飛ぶとユーザー名とパスワードを入力できるページが表示される。

Usernameはどんな名前でもいいし、Passwordもどんな文字列でも問題なくログインには成功する。しかし、ログインには成功したけどフラグを見ることができるとは限らないというメッセージと「No flag for you」と表示される。

Google chromeのEditThisCookieを使ってクッキーを確認すると、usernameとpasswordに加えてadminという情報が保存されていることがわかった。

ログインした状態ではFalseとなっているが、これをTrueに変えて再読込するとフラグをゲットできた。

答え：picoCTF{th3_c0nsp1r4cy_l1v3s_6679fcb5}

picoCTF2019 write-upまとめへ