Lousy Dev

Introduction

Pour ce challenge, on nous donne un .zip, et lorsque l’on le décompresse, on obtient dedans un dossier lousy-dev.git.

Analyse

Bon, première chose à faire, renommer le dossier:

mv lousy-dev.git .git

Puis, deuxième chose à faire, voir tout l’historique des commits :

git show `git log --oneline | awk '{print $1}'`

Dans l’historique des commits, on peut y voir deux choses.

  1. L’URL du serveur de production du site internet: API_ENDPOINT: "https://10.22.148.109:5000/api/" URL Leak

  2. Le Header pour le token d’authentification: 'X-API-Key': process.env.API_KEY Header Leak

  3. Le clé API: dZI3nRJQBb266meUHSk6hsTDMS8N8eGOuxvyi26w03qvUOp10JlQcobgILoGZjGx API key Leak

Exploitation

En envoyant une requête GET /api/ à l’API https://10.22.148.109:5000/, avec le header X-API-Key: dZI3nRJQBb266meUHSk6hsTDMS8N8eGOuxvyi26w03qvUOp10JlQcobgILoGZjGx, on obtient le flag.