Never Fade Away - InterIUT CTF 2026 🇫🇷

Writeup

Writeups pour le challenge Never Fade Away de difficulté Easy que j'ai créé pour l'InterIUT 2026

webmisc

InterIUT CTF 2026

Difficulté : Easy

Pour prouver votre valeur au sein de GhostSurface la branche de web hackers d'élite de Null-Syndicate, vous devez infiltrer l’un des services publics de HelixGate Systems.

Ce portail est utilisé par des entreprises partenaires pour gérer leurs commandes de composants. Un membre de Null-Syndicate a découvert que l’application aurait un défaut de conception important.

Si vous réussissez, GhostSurface pourra installer une backdoor chez HelixGate, ce serait la première brèche dans le réseau de MilSec...

CHALLENGE OVERVIEW

Il faut exploiter une vulnérabilité de type Mass Assignment lors de la création de compte

Par défaut quand on crée un compte seul les paramètres username, email et password sont envoyés

Cependant, une fois sur la page on voit que l'on a le role user, donc il doit exister un role admin, si on essaie d'aller sur /admin on a le message d'erreur suivant :

You do not have permission to access this resource. 
Admin privileges are required.
is_admin == false

On connait maintenant le paramètre qui permet de valider si un utilisateur est admin ou non.

Il suffit de rajouter se paramètre et de le mettre à true lors de l'inscription.

Requête à envoyer pour élever ses privilèges:

curl -X POST http://localhost:5000/register \
  -H "Content-Type: application/json" \
  -d '{
    "username": "root",
    "email": "root@hacker.null",
    "password": "SecurePass123!",
    "is_admin": true
  }'

On obtient alors un accès au /admin et le flag est donné.