[CTF GEMA] OMG!
CTF GEMA Groupe 2025
Niveau de Difficulté : Hard
Catégorie du Challenge : Web
Description :
just hack me!
Solutions Steps
- Type d'attaque : Incorrect HTTP Pipelining
Le site web est statique et comporte quelques fonctionnalités telles que l'inscription et le profil.
Vérification de notre HRS par rapport à la page de recherche qui reflète les résultats de notre recherche.
Maintenant, juste pour confirmer que cette page est utile, nous allons essayer de réaliser un XSS basique et lancer alert()
Maintenant, si les choses se passent bien, nous serons en mesure de smuggler la réponse à notre XSS élaboré et de faire en sorte que quelqu'un d'autre voie ce Self-XSS et vole ses cookies en les récupérant sur notre serveur ou notre webhook.
En envoyant les requêtes ci-dessus plusieurs fois jusqu'à ce que nous ne voyions plus les en-têtes Set-Cookie et attendons un peu, nous verrons des résultats contre notre serveur, y compris les cookies de la victime, où se trouve le flag.
Flag :
FLAG{G8_work_bro!}