Jump to content
Sign in to follow this  
theP4N1C0

Secret Agent - picoCTF

Recommended Posts

Bonsoir, guest!

 

Write-up da Secret Agent do picoCTF

 

1º Passo: Algo que devemos fazer sempre ao jogar o picoCTF ou qualquer outro CTF, ler todas as informações.

Captura de Tela 2019-02-25 às 15.01.09.png

Well done, But I heard google gets all your info anyway. Ai está a maldade! 

Mas entrando no site vamos e clicarmos no botão "FLAG" vemos outra mensagem suspeita:

Captura de Tela 2019-02-25 às 15.01.27.png

 

Eu não sou o Google? Ok, google! 

Vamos juntar as coisas: Secret Agent + Google = ? bot do google

Note que logo após a mensagem "You're not google!" tem informações do seu navegador, vamos somar novamente, Bot + Meu navegador = Eu não sou o google. Então deixa eu ser o google. Mas como? (Mentira você não será o google)

 

Vamos ao terminal usar o cURL, digte:

curl --user-agent "bot link" (link da pagina do desafio - http://2018shell.picoctf.com:3827/flag)

Sem os ( )

 

Bot link? cade? -> https://support.google.com/webmasters/answer/1061943?hl=pt-BR

Captura de Tela 2019-02-25 às 15.02.15.png

Escolha a opção que mais se adequar a você no momento (No meu caso estava usando o safari e peguei o segundo link. Seu comando ficará similar a esse:

curl --user-agent "Mozilla/5.0 AppleWebKit/5KHTML, like Gecko; compatible; Googlebot/2.1; +http://www.google.com/bot.html) Safari/537.36" http://2018shell.picoctf.com:3827/flag

Logo após, CATCHAU:

Captura de Tela 2019-02-25 às 15.35.16.png 

 

Ai está a flag!

Edited by theP4N1C0

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  



  • Similar Content

    • By theP4N1C0
      BONSOIR, GUEST!
       
      Mr.Robot - Pico CTF:
       
      Ao abrir e ler as informações do na tela, respondemos a questão: What part of website could tell you where the creator doesn't want you to look?

      Resposta: Robots.txt
      Então vamos até ela:

       
      Temos uma pagina desativada, ao botar o caminho /c4075.html, tchararam, the flag is there
       
    • By arkham_
      Alguém interessado em formar um grupo de estudos sério para CTFs?
    • By Exu_mirim
      Comecei a treina CTF  no site da Shellter Labs e surgiu uma duvida no Nivel "Admin-oculto". Já encontrei o link no código font. esse mesmo código verifiquei o User-agent e encontrei Admin-login, modifiquei o Admin de False para True só que não acontece nada. Já estou a duas semanas quebrando a cabeça  para descobri qual e a reposta de CTF.
      Alguém poderia me da o norte para sabe o que estou fazendo de errado. 
       

       
    • By velch
      Eu uso os links abaixo, quando estou participando de algum CTF.
      Esteganografia: https://futureboy.us/stegano/
      MD5 decrypt: https://hashkiller.co.uk/md5-decrypter.aspx
      Base64 decrypt: https://www.base64decode.org/
      ASCII converter: http://www.dcode.fr/ascii-code 
      Ferramenta do Magno Santos: https://github.com/Sup3r-Us3r/HashCode
      Algumas shell's: http://www.r57.gen.tr/
      UU decrypt e outros: http://decode.urih.com/
      Decrypt Cifra de Vigenere: https://www.dcode.fr/vigenere-cipher
      Decrypt Cifra de César: https://www.dcode.fr/caesar-cipher
      E uma ferramenta do scr34m0: https://github.com/scr34m0/CTF-TOOLS
×
×
  • Create New...

Important Information

By using this site, you agree to our Terms of Use.