読者です 読者をやめる 読者になる 読者になる

FIT-HACK活動ブログ

福岡工業大学 ネットワーク競技愛好会の部員が活動の様子を紹介します!

部内CTFのWriteup

どーも、部長です。

先週、後輩(1年)と一緒に徹夜でCTFの問題を作成しました。

最初は僕が後輩にHTMLやPHPを教えていたのですが、どうせならCTFの問題作っちゃえ!という深夜テンション特有のノリで作問しました。

難易度は非常に簡単で、問題を解くというよりは問題から学んで欲しいという意図があります。

なお、問題URLの公開に関しては部内限定なので、ここでは控えさせていただきます。

1. ログインフォーム(仮称)

f:id:fithack:20160913222705p:plain

ヒントなしで余裕で解ける問題ですが、CTF未経験者もいたので、ご親切に付けてあげました。

実際、CTFでログインフォーム関連の問題があったら、9割くらいはユーザー名がadminなことが多いですね。

ということで、ユーザーIDにadminを入力すれば入れます。

パスワードの項目はありますが、実際にはダミーでした!

2.Basic認証(仮)

f:id:fithack:20160913224131p:plain

管理者でログインすると、真の管理画面のリンクが貼ってあるので、飛んでみるとBasic認証がかかっています。

Basic認証に設定する方法としては、Apacheの場合は.htaccessを置く場合が多いですね(nginxやIISだと違うので注意してね)

ということで、一個下のディレクトリに置いてある.htaccessを見てみると、なんと見れちゃう!

そこに書かれてある.htpasswdのパスに従って、.htpasswdの中身を見てみると、ユーザー名とパスワードが平文で書かれてあります。

なので、これを先ほどの認証画面に入力すると、フラグが見つかります。

f:id:fithack:20160913223822p:plain

 

練習がてらに作った問題ですが、案外苦戦している人も見受けられたので、見てて面白かったです。

中にはJohn the ripperやnmapやWiresharkなど、たくさんツールを使っている人もいたので、良いトレーニングになったのではないでしょうか(適当)