HackIm 2016 – Smashthestate (Web) – Write-Up

Web 400 - smashthestate 400 pts This beautiful website for testing zip files contains a replica of a vulnerability found in a well known bug bounty site. Log in with rob:smashthestate then exploit the vulnerability to gain access to the 'admin' account and the flag. Automated tools and bruteforcing will not help you solve this challenge. http://54.152.101.3 En arrivant sur le challenge, on voit un formulaire de connexion ainsi qu'une page qui nous propose de générer un code envoyé par email à l'administrateur. Après connexion avec l'utilisateur indiqué rob:smashthestate, on se trouve face…Read more …

HackIm 2016 – SignServer (Web) – Write-Up

Web 100 - SignServer 100 pts Document signature is so hot right now! SignServer provides you with the most advanced solution to sign and verify your documents. We support any document types and provide you with a unique, ultra-secure signature. http://54.174.72.79:9000 Arrivé à l'adresse indiquée nous avons accès à deux services, l'un qui nous permet de signer et l'autre de vérifier une signature. En envoyant un fichier au hasard (on évite celui qui contient nos mots de passe), on obtient: On peut voir que l'objet a été sérialisé en XML et passe dans…Read more …