Information

Local Authority es un challenge de dificultad fácil dentro de la categoría Web Exploitation de la plataforma picoCTF y fue creado por el usuario LT ‘SYREAL’ JONES.

Description

Can you get the flag?

Additional details will be available after launching your challenge instance.

Hints

Se nos facilita la siguiente pista:

How is the password checked on this website?

¿Cómo se comprueba la contraseña en este sitio web?

Solution

Site

Login

El sitio web cuenta con un panel de inicio de sesión (login).

Inspect Code

El formulario envía los datos introducidos por el usuario a login.php utilizando el método POST.

Al realizar un login de prueba, observo que login.php realiza, además, una petición mediante el método GET a un script JavaScript llamado secure.js, posiblemente para realizar algún tipo de validación.

Al revisar secure.js, en la respuesta veo que existe una función llamada checkPassword que, mediante un condicional, valida las credenciales y obtiene el usuario y password hardcodeados.

Flag

Accedo al panel de login exitosamente con las credenciales obtenidas y logro leer la flag.

Hasta aquí la resolución del challenge Local Authority de picoCTF.

Happy Hacking!