---
# System prepended metadata
title: 'Пин код [Duckerz CTF | WEB | WriteUp]'
tags: [WEB, CTF, DUCKERZ]
---
# ⚠️ Дисклеймер
Материал опубликован исключительно в образовательных и исследовательских целях. Вся информация демонстрируется на легальных площадках (HackTheBox, TryHackMe, Portswigger Labs) или собственных тестовых стендах. Автор не несет ответственности за любые противоправные действия третьих лиц, совершенные с использованием полученных знаний. Цель контента — помочь специалистам по информационной безопасности лучше понимать векторы атак для построения надежной защиты.
# Информация по заданию
- Платформа: Duckerz
- Категория: Web
- Сложность: Easy
- Название задачи: Пин код
# Описание задания
Мне кажется, я опять забыл свой пароль.
# Анализ веб-приложения
В задании «Пин код» дается ссылка на веб-страницу (рис. 1).
Рисунок 1. Веб-страница.
На странице находится форма аутентификации. Смотрим исходный код (рис. 2) — в комментариях нашлись учетные данные: `admin:admin`.
Рисунок 2. Исходный код страницы.
После входа открывается страница с формой для 4-значного PIN-кода (рис. 3).
Рисунок 3. Форма ввода PIN.
Пробуем наугад `7777` — не подходит (рис. 4).
Рисунок 4. Неверный пин-код.
Перехватим запрос с помощью `BurpSuite` (рис. 5).
Рисунок 5. Перехваченный запрос.
# Получение флага
Отправляем запрос в Intruder с настройками, как на рисунке 6.
Рисунок 6. Настройки Intruder.
После атаки фильтруем ответы по длине — находим подходящий PIN-код (рис. 7).
Рисунок 7. Подобранный PIN код.
Вводим `1337` (рис. 8) — флаг получен, +150 очков на платформе.
Рисунок 8. Успешный PIN-код.
# Выводы
Если честно, в первый раз я наугад ввел 1337, потому что это значение часто встречается на CTF. Зато в этот раз никаких случайностей — обычный суровый bruteforce.
