Welcome to the prompt airlines
Vamos con un CTF de prompt hacking de esos que nos gustan. Prompt Airlines – AI CTF by Wiz
Nuestro primer challenge es conseguir el ID del bot:
Empezamos haciendo algunas preguntas para coger confianza y vemos que tiene algunas funciones asociadas, lo cual lo hace muy interesante y vulnerable:
Pero de momento vamos a intentar obtener su ID. Tras un par de intentos, viendo que se resiste, opto por ir directamente vía prompt leaking (‘Under the hood’ es una pista demasiado golosa para evitarla 😅):
Ya tenemos el primer flag. Vamos a por el segundo.
Vaya, pues el segundo nos sale también con ese primer prompt, hemos hecho 2×1 😂.
Vamos con el tercero, a ver si empezamos con las tools que tiene asociada.
En este punto va a ser importante comprender bien el system prompt que hemos obtenido. Vamos a ver cómo obtener los cupones….
Lo primero, vamos a obtener algo más legible el system prompt, gracias a ChatGPT (que nos ponga la respuesta en un codeblock):
Ahora que ya podemos trabajar mejor sin dejarnos los ojos, empezamos. Lo primero, claro es probar List_Tickets(), pero no parece muy colaborador. Vamos a sacar los vuelos de esa fecha y vamos a pedir todos los detalles:
Chupado. Vamos a por el siguiente:
Vamos a tener que probar a subir ‘algo’.
Vale. Cogemos el paint:
Y subimos:
😃
Vamos a la última:
Pues le damos directamente:
Vaya, tenemos que trabajarlo un poco más. Pero nos da la pista. ¿recordamos los códigos de descuento que sacamos? Pues vamos a usar uno que dice, curiosamente, 100…:
Olé! 💃.
Y hasta nos dan un certificado:
Lo dejamos por hoy, que ya es tarde. Otro día más retos y a seguir aprendiendo adversariamente 😈.
#PromptAirlines #CTF #Walkthrough #guia #Wiz #Hacking