Tenemos una url con dos puertos por lo que vamos a visitar los dos a ver que contienen.
Vemos como tenemos acceso a una bandeja de un correo y en el otro puerto tenemos la opcion de registrar usuarios ingresar y recuperar la contraseña.
Revisando el codigo fuente nos damos cuenta que la recuperacion de contraseña no esta bien pensada y es vulnerable a un IDOR porque si bien pide un token y verifica que el token sea valido no verifica a quien le pertenece el token, con este en conocimiento le podemos cambiar la contraseña a cualquier usuario.
Vamos a tratar de hallar algun correo de administrador en el codigo fuente usando grep:
grep -r admin
Solicitamos el cambio de contraseña despues de crear un usuario con el correo que nos dieron:
Y hacemos el cambio de contraseña para el usuario administrador:
Ahora con eso podemos iniciar sesion como administradores y veremos que tenemos acceso a un funcion para mostrar “weapons”
Tambien vemos que en la nota acepta markdown por lo que podemos tratar de hacer una inyección para obtener la flag.
img[!](file:///flag.txt)
Si pasamos lo que nos muestra el codigo fuente a un decoder de base64 nos dara la flag.