megumish https://blog.hatena.ne.jp/megumish/ megumishの日記 https://megumish.hatenablog.com/ SecurityFest CTF 2017 に チームHarekaze で参加しました。 チームの総得点は1660点で自分はそのうちの250点解きました。 Freddy vs json ページを開くとよくあるログインフォームにメールアドレスとパスワードの入力欄があります。 適当に埋めて送信すると Invalid username or password! と怒られます。 Exploit http://52.208.132.198:2999/index.jsを見るとページのソースコードを見ることが出来ます。 ちなみにこれはエスパーして発見しました。（一応ヒント(?)として/static/inde… 190 <iframe src="https://hatenablog-parts.com/embed?url=https%3A%2F%2Fmegumish.hatenablog.com%2Fentry%2F2017%2F06%2F03%2F153629" title="SecurityFest CTF 2017 [Web 200] Freddy vs json - megumishの日記" class="embed-card embed-blogcard" scrolling="no" frameborder="0" style="display: block; width: 100%; height: 190px; max-width: 500px; margin: 10px 0px;"></iframe> Hatena Blog https://hatena.blog 2017-06-03 15:36:29 rich https://megumish.hatenablog.com/entry/2017/06/03/153629 1.0 100%