# L'Épistolaire moderne

**Catégorie:** Web - **Difficulté:** Moyen

**Description:**

<figure><img src="/files/vtO963IlDh7E2HE0nQtp" alt=""><figcaption></figcaption></figure>

Lien : <https://epistolaire.challenges.404ctf.fr/>

**Solution:**

Pour ce challenge, nous avions accès à un chat (assez têtu) à qui nous pouvions envoyer des messages une fois connecter en tant qu'invité :&#x20;

<figure><img src="/files/o8TOM4G7sPgNzs77v0eJ" alt="" width="563"><figcaption></figcaption></figure>

Nous pouvons constater que les discussions avec cette princesse sont assez constructives et bien utiles :&#x20;

<figure><img src="/files/92xijOaLJb5480zdQWKQ" alt="" width="563"><figcaption></figcaption></figure>

Nous comprenons 2 choses ici : \
\- La princesse ne veut pas nous donner le flag gentiment\
\- Rester poli ne sert à rien :joy:

Il faut donc chercher quelque chose qui pourrait nous être utile : le code source du bot, l'interception d'une réponse, un flag ?\
Commençons par le code source du bot. En regardant ce qu'il se passe, nous voyons qu'il y a des fichiers .js qui sont appelés : <br>

<figure><img src="/files/UEiuRpJoBcVP5u4eD0re" alt="" width="563"><figcaption></figcaption></figure>

Nous allons directement checker le fichier main.js qui appellent surement les autres fichiers .js :&#x20;

<figure><img src="/files/Bie3ICe5JYVvvBLPZDYp" alt="" width="563"><figcaption></figcaption></figure>

Il s'agit d'un code presque illisible (ou du moins incompréhensible) comme ceci. Pour y voir plus clair nous allons utiliser un site qui va nous remettre tout ce code d'aplomb : <https://beautifier.io/>\
Avec ce site nous obtenons un code structuré avec une indentation correcte et donc lisible plus facilement.

Après un survol du code, nous voyons que lorsqu'un texte est envoyé, le site va appeler une API pour donner une réponse. Cela explique donc pourquoi les réponses de la princesse étaient toujours les mêmes...\
En cherchant donc les principales requête HTTP d'une API (GET, POST, PUT, DELETE...) nous trouvons rapidement une fonction intéressante :&#x20;

<figure><img src="/files/JTBWayG94m9ZZ7gu9deZ" alt="" width="563"><figcaption></figcaption></figure>

Cette fonction nous donne un indice sur le "type de texte" intéressant à envoyer : une URL.\
Nous voyons également qu'il y a une fonction nommé getToken ce qui est intéressant car il y a peut être quelque chose à récupérer avec ou dans cette fonction :&#x20;

<figure><img src="/files/UvrwyUE0ohlCmHC7b465" alt="" width="563"><figcaption></figcaption></figure>

Cette fonction permet de récupérer un cookie, surement celui d'un service sur le serveur ou même celui de la princesse.

Si nous faisons donc un lien entre tout ce que nous avons trouvé précédemment, il nous faut un lien que nous allons envoyer à la princesse pour récupérer un token.\
Maintenant il faut réfléchir un peu pour trouver quoi faire/utiliser.

Très rapidement nous trouvons l'option ngrok afin de créer un petit tunnel et de récupérer les résultats d'une requête. Mais en même temps, nous somme un peu flemmard pour faire ça (trouver les "bonnes commandes" à exécuter), alors nous allons utiliser [Request Bin](https://public.requestbin.com/r) qui fera parfaitement le travail.\
En envoyant notre lien, nous récupérons directement le résultat et le fameux token, un JWT :&#x20;

<figure><img src="/files/M7f3zd8Zzayy26TL7WhV" alt="" width="563"><figcaption></figcaption></figure>

Nous récupérons ce token JWT : *`eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJwdWJsaWNfaWQiOiI3NTUwODhhMS0wNDcxLTQyYzgtYjdhZS1mNzdmZjhmN2Y3OWUiLCJleHAiOjE2ODU3ODkxMTQsImlhdCI6MTY4NTc4NzMxNCwiaXNzIjoiaHR0cHM6Ly9lcGlzdG9sYWlyZS5jaGFsbGVuZ2VzLjQwNGN0Zi5mciJ9.cyqOLqJsfZN5j5CTEgdY_m2Rup0X_78s3VEQk-_1_1I`*\
que nous allons utiliser pour tenter de nous connecter.\
Pour ce faire, comme d'habitude nous allons utiliser le proxy de BurpSuite :&#x20;

<figure><img src="/files/QOWZNwV3xXkLOmyd4Y0e" alt="" width="563"><figcaption></figcaption></figure>

En se connectant avec ce token, nous obtenons une nouvelle page disponible "Notes personnelles" qui auparavant n'était pas visible.\
Essayons donc d'y accéder toujours avec le token afin de voir le contenu de cette page :&#x20;

<figure><img src="/files/rRb93zNXs42MGBFTWvhR" alt="" width="563"><figcaption></figcaption></figure>

Après quelques redirections (4 ou 5), nous arrivons enfin sur cette page. Il est possible de déplier chaque "tiroir" pour voir le contenu. Faisons-le jusqu'à trouver quelque chose d'intéressant :&#x20;

<figure><img src="/files/Jo8eRu5oYA93mtIgcQv7" alt="" width="563"><figcaption></figcaption></figure>

Et voilà, le flag se trouvait dans le dernier "tiroir" de cette page.

<details>

<summary>🚩 FLAG</summary>

```
404CTF{L34k_d3_C00k13s_s3cr3ts}
```

</details>


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://writeups.ayweth20.com/2023/404ctf-2023/web/lepistolaire-moderne.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.