Terrarian_51
New member
- 12.04.2025
- 1
- 0
Всем доброго дня!
Моя подруга работает в школе, и у них сейчас проходит какой-то конкурс по ИТ-безопасности для детей. Есть одна задача, которую мы вообще не знаем, как решить.
У нас есть веб-сайт, где нужно пройти аутентификацию, введя логин и пароль, чтобы получить нужную нам информацию. На сайте также включена аутентификация по паролю OTP, а телефона у нас нет.
У нас есть несколько подсказок по этой задаче, в которых сказано, что:
Во первых, мы могли бы как-то использовать перехват пакетов и подстановку переменных.
Во вторых, нужно обратить внимание на сообщение об ошибке (или уязвимость), полученное с сервера при обработке пустого запроса OTP.
В третьих, необходимо исследовать ответ сервера на пустой запрос OTP и найти в нем уязвимости.
Хотя ей удалось получить логин и пароль с помощью SQL-инъекции, мы все еще не можем взломать защиту OTP.
Ранее я нашел несколько инструкций ctf, в которых есть некоторые команды, но не было никаких подсказок о среде, где я мог бы использовать эти команды.
Собственно, нам нужно авторизоваться на сайте и ввести флаг, полученный при взломе. Проблема в том, что сайт не выдает никаких ошибок об OTP, и я не знаю, что такое «флаг» и где его искать.
Я новичок в соревнованиях CTF, но очень хочу помочь своей подруге, так как она очень сильно озадачена. Я просто хотел бы увидеть, как взломать этот сайт шаг за шагом и получить флаг.
Моя подруга работает в школе, и у них сейчас проходит какой-то конкурс по ИТ-безопасности для детей. Есть одна задача, которую мы вообще не знаем, как решить.
Ссылка скрыта от гостей
Формат флага: CTF {optimized_model}.У нас есть веб-сайт, где нужно пройти аутентификацию, введя логин и пароль, чтобы получить нужную нам информацию. На сайте также включена аутентификация по паролю OTP, а телефона у нас нет.
У нас есть несколько подсказок по этой задаче, в которых сказано, что:
Во первых, мы могли бы как-то использовать перехват пакетов и подстановку переменных.
Во вторых, нужно обратить внимание на сообщение об ошибке (или уязвимость), полученное с сервера при обработке пустого запроса OTP.
В третьих, необходимо исследовать ответ сервера на пустой запрос OTP и найти в нем уязвимости.
Хотя ей удалось получить логин и пароль с помощью SQL-инъекции, мы все еще не можем взломать защиту OTP.
Ранее я нашел несколько инструкций ctf, в которых есть некоторые команды, но не было никаких подсказок о среде, где я мог бы использовать эти команды.
Собственно, нам нужно авторизоваться на сайте и ввести флаг, полученный при взломе. Проблема в том, что сайт не выдает никаких ошибок об OTP, и я не знаю, что такое «флаг» и где его искать.
Я новичок в соревнованиях CTF, но очень хочу помочь своей подруге, так как она очень сильно озадачена. Я просто хотел бы увидеть, как взломать этот сайт шаг за шагом и получить флаг.
