picoCTF 2022 - Roboto Sans

"The flag is somewhere on this web application not necessarily on the website. Find it!"

Trước khi mình bắt đầu giải 1 challenge nào đó. mình luôn để ý những lời nhắn người ta để lại ở đầu mỗi bài + tên của bài. Và đây cũng như vậy, mình đã giải được bài này cũng như nhiều bài khác cũng bằng phương pháp này.

Ta hãy bắt đầu phân tích đề bài, đầu tiên ta sẽ thấy có 1 số từ khóa quan trọng: "not necessarily on the website" và ROBOTo Sans. Hai từ khóa in đậm này làm mình nhớ đến file robots.txt. Robots.txt là một tệp hỗ trợ hạn chế và kiểm soát quyền truy cập trang web. Quản trị web được hưởng lợi từ tệp robots.txt vì nó cho trình thu thập thông tin của công cụ tìm kiếm biết những trang nào trên trang web cần tập trung vào. Điều này sẽ giúp cho các trang quan trọng nhất được chú ý trong khi các trang ít quan trọng hơn bị bỏ qua. Quay trở lại vấn đề chính, mình sẽ xem là hướng tư duy của mình có đúng hay không bằng cách kiểm tra xem trên web có file robots.txt hay không: 

Vậy là tư duy của mình với vấn đề đã đúng, nhưng khoan, dừng khoảng chứng là 2 giây... Đoạn mã gì đây??? Chúng ta có thể thấy đoạn mã này có hai dấu bằng đứng liền kề nhau, vậy tức là khả năng cao là base64, và mình sẽ ưu tiên với đoạn mã có hai dấu bằng (vì nó có nhiều dấu hiệu của base64):

Ồ!!!!!!!! Khi ta decode cái này thì nó sẽ ra một đường dẫn là js/myfile.txt. Mình truy cập thử vào đường dẫn này và đã tìm được câu trả lời: