· 1 min read
parrot
CTF Write-up
BKSEC_training Hidden
parrot
Challenge Information
- Category: Web Exploitation
- Event: BKSEC training 2026
- Author: anhtv, nhatpd
- Difficulty: Hidden
- Tags: #web #cmdi
1. Description
A simple “repeat after me” challenge.
2. Overview
Đây là một challenge OS command injection điển hình.
3. Reconnaissance
Giao diện rất đơn giản, trang web sẽ hiện tại những gì chúng ta nhập vào:

Ta sẽ thử vài payload để kiểm tra các lổ hổng:
<h1>test</h1>:

' OR 1=1--:

;whoami:

-> 99% dính OS command injection
4. Exploitation
Ta sẽ thử liệt kê xem thư mục hiện tại đang đứng có những thứ gì:

Xem luôn thư mục gốc:

Đã thấy file chứa flag -> cat và submit thôi, payload: ;cat /flagLe6VU:
