Thêm view-source: vào trước URL để xem mã nguồn của trang (đối với Firefox).
- HTML Comments: Xem mã nguồn của trang
/home, phát hiện một trang home mới:/new-home-beta. Truy cập và nhận cờ.
Success
THM{HTML_COMMENTS_ARE_DANGEROUS}
- Secret Page: Trong mã nguồn, phát hiện đường dẫn
/secret-page. Truy cập và nhận cờ.
Success
THM{NOT_A_SECRET_ANYMORE}
- Directory Permissions: Tất cả các file external nằm trong thư mục
/assets. Truy cập/assetsvà thấy fileflag.txtdo lỗi cấu hình quyền truy cập.
Success
THM{INVALID_DIRECTORY_PERMISSIONS}
- Framework Version: Cuối mã nguồn có link đến framework (THM Framework v1.2). Changelog cho thấy v1.3 đã sửa lỗi lộ file backup tại
/tmp.zip. Truy cập đường dẫn này và nhận cờ.
Success
THM{KEEP_YOUR_SOFTWARE_UPDATED}
- Hidden Content: Tại trang
/news, một bài viết bị che bởi mộtdiv. Sử dụng inspector để xóadivnày và nhận cờ.
Success
THM{NOT_SO_HIDDEN}
- Debugger: Tại trang
/contact, một thông báo xuất hiện và biến mất nhanh. Sử dụng debugger, tìm đến fileflash.min.jsvà đặt breakpoint trước khiflash['remove']()được gọi để xem cờ.
Success
THM{CATCH_ME_IF_YOU_CAN}
- AJAX: Gửi form liên hệ và theo dõi tab network trong devtools. Response của request POST sẽ chứa cờ.
Success
THM{GOT_AJAX_FLAG}