SECON 2017 Online CTF Log search(Web, 100pt)
こんな感じでサーバへのアクセスログが検索できます。
問題文曰く検索はElasticsearchらしいです。
Web系はまったく知識が無く、悪意のあるコマンドをうまいこと送る考えもあまりできなかったのですが、
ふと思い立った時にflagと検索してみたところ、
flag-********************************.txt をGETするリクエストが大量にあり、そのうち1つだけレスポンスが404でなく200でした。
というわけでアドレスバーにそのパスを打ち込んでフラグゲット。
感想
フラグ文字列にNoSQL Injectionを想起させるワードが入っていたため、
正規回答ではなかったっぽい(というか実際ただの当てずっぽう)のですが、
それでも何とかなることはあるので、とにかくエスパーでもなんでも思いついたことは手を動かすという姿勢が大事だなと思いました。
