Skip to content
· 1 min read

parrot

CTF Write-up

Quick Nav
BKSEC_training Hidden

parrot

Challenge Information

  • Category: Web Exploitation
  • Event: BKSEC training 2026
  • Author: anhtv, nhatpd
  • Difficulty: Hidden
  • Tags: #web #cmdi

1. Description

A simple “repeat after me” challenge.

2. Overview

Đây là một challenge OS command injection điển hình.

3. Reconnaissance

Giao diện rất đơn giản, trang web sẽ hiện tại những gì chúng ta nhập vào:

Ta sẽ thử vài payload để kiểm tra các lổ hổng:

  • <h1>test</h1>:

  • ' OR 1=1--:

  • ;whoami:

-> 99% dính OS command injection

4. Exploitation

Ta sẽ thử liệt kê xem thư mục hiện tại đang đứng có những thứ gì:

Xem luôn thư mục gốc:

Đã thấy file chứa flag -> cat và submit thôi, payload: ;cat /flagLe6VU:

$ ls ./related/