Nullcon CTF - Web100 (100 pts)
Solución del reto HackIM’17 - Web100 del Nullcon CTF 2017 por Alguien y @h4ng3r.
Descripción
Este fin de semana hemos participado en el CTF de la Nullcon organizado por HackIM. El reto Web100 era el primer reto de web con un valor de 100 puntos y con la siguente información:
Chris Martin wants to go home. Can you help him get there as soon as possible?
http://54.152.19.210/web100/
Análisis
La pista no es muy clara, aunque nos habla de Chris Martin que según la Wikipedia es el cantante principal y co-leader de la banda de música Coldplay.
Si accedemos a la página web aparece un login muy simple sin ningún tipo de CSS ni texto adicional:
Si introducimos un usuario y contraseña en el sistema de login aparece el siguente error indicando que la IP no es válida:
Mismatch in host table! Please contact your administrator for access. IP logged.
Solución
En este punto no tenemos ningún tipo de pista sobre posibles usuarios o contraseñas, solo sabemos que puede estar relacionado con Chris Martin o Coldplay.
Pero antes de precuparnos por el login hay que evadir el control de IP, lo cual se puede conseguir añadiendo el siguente header a las peticiones:
X-Forwarded-For: 127.0.0.1
Una vez evadido el control se intentaron usuarios por defecto, como admin:admin, sin ningún éxito.
Observando el código fuente de la página, después de darle un poco al scroll, descurbiemos el siguente comentario HTML:
<!-- MmI0YjAzN2ZkMWYzMDM3NWU1Y2Q4NzE0NDhiNWI5NWM= -->
Como se puede ver el comentario está codificado en base64, si decodificamos obtenemos una cadena de texto que por longitud y charset podría ser un hash MD5:
2b4b037fd1f30375e5cd871448b5b95c
Este hash puede que sea el hash MD5 de la contraseña, por lo que probamos con varias página we que ofrecen el servicio de cracking de hashes, sin mucho éxito.
En este punto decidimos buscar la cadena de texto en Google, lo que nos llevó al siguente resultado:
El hash hace referencia a la imágen de la portada del disco Paradise de Coldplay:
Finalmente, conseguimos acceder al login utilizando como usuario coldplay y como contraseña paradise lo que nos dió el flag.