# ⚠️ Дисклеймер
Материал опубликован исключительно в образовательных и исследовательских целях. Вся информация демонстрируется на легальных площадках (HackTheBox. TryHackMe, Portswigger Labs) или собственных тестовых стендах. Автор не несет ответственности за любые противоправные действия третьих лиц, совершенные с использованием полученных знаний. Цель контента — помочь специалистам по информационной безопасности лучше понимать векторы атак для построения надежной защиты.
# Информация по заданию
- Платформа: Duckerz
- Категория: Web
- Сложность: Easy
- Название задачи: web-полигон
# Описание задания
Так все же Гетман или Постман?
# Анализ веб-приложения
В задании «web-полигон» дается ссылка на веб-страницу (рис. 1).
<figure style="text-align:center">
<img src="https://hackmd.io/_uploads/rkAampVKWe.png" alt="">
<figcaption>Рисунок 1. Веб-страница.</figcaption>
</figure>
Условия получения флага написаны прямо на веб-странице: нужно отправить три запроса, собрать ответы и соединить в флаг.
# Получение флага
Для решения используем `BurpSuite`. Перехватываем GET-запрос на `/flag` (рис. 2) и получаем первую часть флага.
<figure style="text-align:center">
<img src="https://hackmd.io/_uploads/Hys-rTEFbx.png" alt="">
<figcaption>Рисунок 2. GET-запрос.</figcaption>
</figure>
Вторая часть флага дается после отправки POST-запроса к тому же эндпоинту (рис. 3). В `BurpSuite` метод можно поменять парой кликов `ПКМ -> Change request method`.
<figure style="text-align:center">
<img src="https://hackmd.io/_uploads/SJALHaNt-g.png" alt="">
<figcaption>Рисунок 3. POST-запрос.</figcaption>
</figure>
Последняя часть — снова GET-запрос, но уже с любым параметром, например `?par` (рис. 4).
<figure style="text-align:center">
<img src="https://hackmd.io/_uploads/r1erraNFbg.png" alt="">
<figcaption>Рисунок 4. GET-запрос с параметром.</figcaption>
</figure>
Собираем все три части в одну строку:
```text=
DUCKERZ{G3tReq_P0$Trequest_MIXXXXX!}
```
Флаг принят и мы получили 150 очков за решение этой задачи.
# Выводы
Задача «web-полигон» сводится к работе с HTTP-методами. Сервер по-разному отвечает на GET и POST запросы к одному эндпоинту, а также реагирует на наличие параметров. Три запроса — три части флага.
Sign in via Google
Sign in via Facebook
Sign in via X(Twitter)
Sign in via GitHub
Sign in via Dropbox
Sign in with Wallet
Connect another wallet