Natas 4

Level Goal

Username: natas4
Password: Z9tkRkWmpt9Qr7XrR5jWRkgOU901swEZ
URL: http://natas4.natas.labs.overthewire.org

En arrivant sur la page on a le message d'erreur suivant :

Access disallowed. You are visiting from "" while authorized users should come only from "http://natas5.natas.labs.overthewire.org/" 

De manière assez classique le site semble attendre un referer différent. Lorsque l'on arrive sur une nouvelle page le referer est le lien vers la page qui nous y a amené. Cela a historiquement une utilité pour comprendre d'où viennent les visiteurs d'un site ou quelle requête sur un moteur de recherche les amenés à visiter le site.

Ici une manière simple de simuler un referer provenant de l'url indiqué est d'utiliser une commande curl :

curl http://natas4.natas.labs.overthewire.org -u natas4:Z9tkRkWmpt9Qr7XrR5jWRkgOU901swEZ -e http://natas5.natas.labs.overthewire.org/

Si l'on décompose cette commande on a :

• curl http://natas4.natas.labs.overthewire.org envoi une requête GET vers la page http://natas4.natas.labs.overthewire.org
• -u natas4:Z9tkRkWmpt9Qr7XrR5jWRkgOU901swEZ spécifie le nom d'utilisateur et le mot de passe nécessaire pour se connecter à cette épreuve
• -e http://natas5.natas.labs.overthewire.org/ spécifie le referer attendu

Une fois cette commande entrée on a le retour suivant :

Access granted. The password for natas5 is iX6IOfmpN7AYOQGPwtn3fXpbaJVJcHfq