# La Vie Française **Catégorie:** Web - **Difficulté:** Facile **Description:**

Lien : **Solution:** Pour ce challenge, nous arrivons sur une page avec un lien pour postuler (s'inscrire) ou pour se connecter :

Dans un premier temps, nous pouvons tester de nous inscrire pour voir ce qu'il est possible d'avoir. On peut tenter de s'inscrire avec le pseudo admin, mais il y a un message d'erreur :

L'utilisateur *admin* a été désactivé donc il va être compliqué de s'inscrire ou de se connecter en tant qu'admin... Mais essayons avec un autre combo (*user / pass*). Ici tout est bon. Nous avons pu nous inscrire et nous connecter. Mais rien de vraiment intéressant maintenant :

Etrange...\ Rien d'intéressant dans le code source, avec d'autres infos (username) c'est pareil, donc il faut continuer à chercher... Après quelques jours de réfléxion, je me suis dit qu'on pouvait surement faire des injections SQL sur le formulaire de connexion.\ J'ai donc testé et voici le résultat :clown: :

Bon bah la SQLi, c'est pas ici... Alors je m'obstine (ou je force dans ma connerie) à trouver l'endroit où faire les injections SQL.\ En regardant la requêtes que nous envoyons au serveur lors de l'accès à l'espace personnel (après la connexion), nous pouvons voir un uuid dans les cookies.\ Et l'injection dans les cookies, c'est possible. Alors testons une injection SQL basique :

C'est incroyable, mais ça fonctionne. Alors continuons dans ce sens et allons jusqu'au bout.\ Nous allons dans un premier récupérer les noms des tables :

Payload : ' UNION SELECT GROUP_CONCAT(table_name), null, null FROM information_schema.tables#

En regardant, nous trouvons des tables intéressantes comme user. Maintenant nous allons récupérer le nom de ses colonnes pour en extraire ce qui est intéressant :

Payload : ' UNION SELECT GROUP_CONCAT(column_name), null, null FROM information_schema.columns WHERE table_name = 'users' #

Maintenant que nous avons les noms des colonnes, nous pouvons récupérer le contenu de la table en utilisant les infos recueillies :

Payload : ' UNION SELECT GROUP_CONCAT(username), null, null FROM users #

Payload : ' UNION SELECT GROUP_CONCAT(password), null, null FROM users #

Maintenant que nous avons récupérer les usernames et les mots de passe de chaque personne, nous allons pouvoir tous les essayer directement sur le site :

Avec le username "madeleineforestier" et son mot de passe, nous pouvons accéder à un nouvel espace :

En allant sur l'espace admin, nous pouvons directement récupérer le flag :

🚩 FLAG

``` 404CTF{B3w4Re_th3_d3STruct1v3s_Qu0tes} ```

--- # Agent Instructions: Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://writeups.ayweth20.com/2023/404ctf-2023/web/la-vie-francaise.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.