Information

Local Authority es un challenge de dificultad fácil dentro de la categoría Web Exploitation de la plataforma picoCTF. El reto fue creado por el usuario LT ‘SYREAL’ JONES.

Hint

Se nos facilita la siguiente pista:

How is the password checked on this website?

¿Cómo se comprueba la contraseña en este sitio web?

Solution

Site

Login

El sitio web cuenta con un panel de inicio de sesión (login).

Inspect Code

El formulario envía los datos introducidos por el usuario a login.php utilizando el método POST.

Realizo un login de prueba y observo que, adicionalmente, se carga un script JavaScript llamado secure.js.

Al revisar dicho archivo, en la respuesta veo que existe una función llamada checkPassword que, mediante un condicional, valida las credenciales y obtiene el usuario y password hardcodeados.

Flag

Accedo al panel de login exitosamente con las credenciales obtenidas y logro leer la flag.

Hasta aquí la resolución del challenge Local Authority.

Happy Hacking!