# La Vie Française **Catégorie:** Web - **Difficulté:** Facile **Description:**
Lien : **Solution:** Pour ce challenge, nous arrivons sur une page avec un lien pour postuler (s'inscrire) ou pour se connecter :
Dans un premier temps, nous pouvons tester de nous inscrire pour voir ce qu'il est possible d'avoir. On peut tenter de s'inscrire avec le pseudo admin, mais il y a un message d'erreur :
L'utilisateur *admin* a été désactivé donc il va être compliqué de s'inscrire ou de se connecter en tant qu'admin... Mais essayons avec un autre combo (*user / pass*). Ici tout est bon. Nous avons pu nous inscrire et nous connecter. Mais rien de vraiment intéressant maintenant :
Etrange...\ Rien d'intéressant dans le code source, avec d'autres infos (username) c'est pareil, donc il faut continuer à chercher... Après quelques jours de réfléxion, je me suis dit qu'on pouvait surement faire des injections SQL sur le formulaire de connexion.\ J'ai donc testé et voici le résultat :clown: :
Bon bah la SQLi, c'est pas ici... Alors je m'obstine (ou je force dans ma connerie) à trouver l'endroit où faire les injections SQL.\ En regardant la requêtes que nous envoyons au serveur lors de l'accès à l'espace personnel (après la connexion), nous pouvons voir un uuid dans les cookies.\ Et l'injection dans les cookies, c'est possible. Alors testons une injection SQL basique :

Payload : ' OR 1=1#

C'est incroyable, mais ça fonctionne. Alors continuons dans ce sens et allons jusqu'au bout.\ Nous allons dans un premier récupérer les noms des tables :

Payload : ' UNION SELECT GROUP_CONCAT(table_name), null, null FROM information_schema.tables#

En regardant, nous trouvons des tables intéressantes comme user. Maintenant nous allons récupérer le nom de ses colonnes pour en extraire ce qui est intéressant :

Payload : ' UNION SELECT GROUP_CONCAT(column_name), null, null FROM information_schema.columns WHERE table_name = 'users' #

Maintenant que nous avons les noms des colonnes, nous pouvons récupérer le contenu de la table en utilisant les infos recueillies :

Payload : ' UNION SELECT GROUP_CONCAT(username), null, null FROM users #

Payload : ' UNION SELECT GROUP_CONCAT(password), null, null FROM users #

Maintenant que nous avons récupérer les usernames et les mots de passe de chaque personne, nous allons pouvoir tous les essayer directement sur le site :
Avec le username "madeleineforestier" et son mot de passe, nous pouvons accéder à un nouvel espace :
En allant sur l'espace admin, nous pouvons directement récupérer le flag :
🚩 FLAG ``` 404CTF{B3w4Re_th3_d3STruct1v3s_Qu0tes} ```