Contexto de la maquina
Trayectoria Cookie Monster Secret Recipe
Este reto de PicoCTF presenta una aplicación web sencilla en la que el objetivo principal es analizar el comportamiento del navegador y los datos almacenados en cookies. No se requiere explotación activa del servidor, sino observación y decodificación de información expuesta de forma insegura en el lado del cliente.
Objetivo del reto:
Identificar información sensible almacenada en una cookie del navegador y decodificarla correctamente para obtener la flag final.
Tipo de máquina
Linux (implícito por el entorno típico de PicoCTF)
Habilidades y técnicas evaluadas
Análisis básico de aplicaciones web
Inspección de cookies del navegador
Identificación de codificación Base64
Enumeración y análisis de vulnerabilidades
Despliegue del CTF
En la propia pagina buscaremos el CTF, dentro veremos un boton llamado Launch Instance, una ves desplegado nos aparecera here donde se encuentra el dominio junto con el puerto asociado al mismo.
El objetivo de estos CTFs es encontrar la flag final.
Al acceder al dominio, se observa una página web con un formulario de login, pero sin credenciales disponibles.
Dado que no es posible autenticarse, se procede a analizar los elementos accesibles desde el navegador. Al inspeccionar las cookies almacenadas por la aplicación, se identifica un valor llamativo:
El contenido presenta un formato que aparenta estar codificado en Base64.
Este tipo de codificación es común en retos CTF para ocultar información de forma superficial.
Se copia el valor de la cookie y se decodifica desde la terminal utilizando base64:
Salida obtenida:
El contenido decodificado corresponde directamente a la flag del reto, por lo que no es necesario realizar ninguna acción adicional.
flag
