Secrets
Atualizado
Atualizado
Autor: Geoffrey Njogu Plataforma: PicoCTF Categoria: Web Exploitation Dificuldade: Médio Data: 2022
No desafio, foi dada a seguinte dica: "folders folders folders"
O site fornecido é:
http://saturn.picoctf.net:61871/
Ao acessar o site, visualmente não há nada útil para ser analisado. A solução exige inspeção no HTML e exploração de diretórios.
Ao inspecionar o HTML da página inicial, encontramos uma referência a uma imagem:
Removendo a parte do caminho que aponta para a imagem, obtemos um novo diretório:
http://saturn.picoctf.net:61871/secret/
Acessando essa URL, encontramos a mensagem:
Finally. You almost found me. you are doing well
Não há nada útil visível, mas ao inspecionar o código fonte do HTML, encontramos outra referência suspeita:
Removendo o file.css do caminho, obtemos um novo diretório:
http://saturn.picoctf.net:61871/secret/hidden/
Ao acessar esta URL, novamente não há nada útil visualmente. Porém, ao inspecionar o código fonte, encontramos outra referência:
Removendo o login.css do caminho, obtemos um novo diretório:
http://saturn.picoctf.net:61871/secret/hidden/superhidden/
Ao acessar esta URL, encontramos a seguinte mensagem:
Finally. You found me. But can you see me
Inspecionando o código fonte do HTML, encontramos a flag escondida:
A flag utiliza a mesma cor do fundo da página, tornando-a invisível no site sem a inspeção do código.
A flag encontrada é:
picoCTF{succ3ss_@h3n1c@10n_790d2615}
Este desafio destacou a importância de explorar a estrutura de diretórios e inspecionar o código fonte de páginas web. Cada etapa exigiu identificar e acessar diretórios ocultos para, finalmente, encontrar a flag.
Navegador e ferramentas de inspeção (DevTools)
Observação e exploração de padrões em URLs e diretórios
Flag Final: picoCTF{succ3ss_@h3n1c@10n_790d2615}
