--- title: "notsogeo | Challenge" tags: ctf writeup --- notsogeo - web === ## Description Here is an early iteration of Geosint that is more similar to how GeoGuessr loads its Street View panorama. I wonder how we can find the location? Note: https://github.com/JustHackingCo/geosint this is not the source for this challenge but it is what the site is based off of :) Author: `gary` Connection Info: :::info https://notsogeo.chall.lol ::: ## Exploit Tujuan challenge ini adalah untuk mendapatkan koordinat lokasi yang tepat saat bermain geoguesr, dan kita bisa mendapatkan lokasi tersebut dengan memanfaatkan kredensial google API dan juga panoid yang terleak pada server. Pada challenge ini kita bisa mendapatkan api key google map dari server dengan melihat source code dari halaman https://notsogeo.chall.lol/chall . Saat kita melihat source codenya akan terlihat API key seperti berikut:  Setelah itu kita perlu mendapatkan **panoid** dari server, seperti gambar dibawah ini: <center>mendapatkan dengan cara mengakses info.json</center>  <center>mendapatkan dengan cara memantau request yang keluar</center>  **panoid** ini nanti akan berguna untuk mendapatkan lokasi yang terdapat di challenge geoguesr. Setelah mendapatkan keduanya, kita bisa mengakses api googlemap dan mendapatkan koordinat dari lokasi di geoguesr seperti berikut: :::info https://maps.googleapis.com/maps/api/streetview/metadata?pano=E79vkEu2pHDfiUkvUWHciA&key=AIzaSyBCDNiWcrx9rLjH11gyhIaXCZQl18WTiPY :::  Setelah kita mendapatkan koordinatnya, kita tinggal mengirimkan koordinat itu ke endpoint `/chall/submit` dan kita akan mendapatkan flagnya seperti gambar dibawah: