بسم الله الرحمن الرحيم
في هذه المقاله سنشارككم حل تحدي picoCTF
Category :Web Exploitation
Challenge : dont-use-client-side
الادوات المستخدمة في هذا التحدي : لا يوجد
وصف للتحدي :
نحن نعرف بأن أي موقع إلكتروني يتكون من جانبين :
- جانب العميل والذي يظهر فيه الصفحات اللي يطلبها المستخدم علي المتصفح وهذه الصفحة عباره عن لغات البرمجة (css,java script ,html )
- جانب الخادم والذي يكون فيه الموقع مخزن بالكامل واللغات المستخدمة هي ( قاعدة بيانات ولغات البرمجة مثل (c++ ,python ,...........)
فالهدف من هذا التحدي والذي يتضح لنا من خلال الاسم هو عدم الوثوق بجانب العميل والذي وعباره عن الصفحات التي يطلبها العميل والمكون من (css,html,java script) ،اذاً سنبحث عن العلم داخل هذه اللغات :
حل التحدي :
- بعد النقر على الرابط ستظهر لنا بوابة تطلب من العميل أن يُدخل كلمة مرور كما يظهر بالصوره :
وعند محاولة ادخال كلمات مرور عشوائية سيظهر لنا رسالة خطأ كلمة المرور :
بعد ذلك نقوم بالنقر على مصدر الصفحة لمشاهدة أكواد الصفحة ، فنلاحظ وجود كود جافا سكريبت يحتوى علي كلمة المرور التي نبحث عنها وهي العلم :
وبعد قراءة كود الجافا سكريبت يكون الفلاق لهذا التحدي هو:
split =4
(0, split) == pico
(split, split*2) == }CTF
(split*2, split*3) == no_c
(split*3, split*4) == lien
(split*4, split*5) == ts_p
(split*5, split*6) == lz_7
(split*6, split*7) == 723c
(split*7, split*8) == e}
picoCTF{no_clients_plz_7723ce}
تعليقات
إرسال تعليق