Diberikan sebuah web dan source code. Web berisikan fungsi untuk melakukan vote terhadap emoji-emoji. Tidak ada yang menarik sejauh ini. Mari kita lihat apa yang dikirim saat melakukan vote. Saat melakukan vote, main.js akan dipanggil dan mengirim data tertentu. Berikut isi dari main.js.: Ada potongan code yang menarik. Yakni pada bagian saat memanggil API /api/list. […]
[Cyber Jawara 2020 Qualification] – Home Folder
Pada soal ini diberikan zip archive yang berisi direktori home linux pada umumnya.Pada direktori tersebut, terdapat beberapa file yang bisa menuntun kita pada flag: .bash_history: Menyimpan command-command yang pernah di eksekusi flag.zip: Berisi flag.txt pass.txt: Berisi password untuk zip file Hal pertama yang kami coba adalah langsung menggunakan isi file pass.txt untuk melakukan unzip terhadap […]
[Cyber Jawara 2020 Qualification] – CaaS
Diberikan sebuah layanan dimana kami dapat memberikan sebuah input, kemudian server akan mengembalikan input kami dalam bentuk yang sudah dienkripsi. Pada deskripsi soal juga diberikan sebuah string Base64 yang adalah flag yang sudah dienkripsi beserta sebuah source code. Dari source code yang diberikan, diketahui juga bahwa layanan tersebut menggunakan algoritma enkripsi AES dengan mode operasi […]
[Cyber Jawara 2020 Qualification] – Extra Mile
Diberikan sebuah web yang berisi halaman login, dimana credential untuk login ke web tersebut sudah diberikan pada deskripsi challenge, yakni admin:admin. Setelah berhasil login, kami mencoba menemukan apa yang bisa dilakukan pada web tersebut, namun nihil. Di dalam web tersebut hanya terdapat sebuah logo statis Cyber Jawara. Karena tidak menemukan apapun untuk dilakukan, kami beralih […]
[Cyber Jawara 2020 Qualification] – Toko Masker 2
Challenge kali ini merupakan sequel dari challenge sebelumnya, Toko Masker 1. Karena web nya masih serupa, kami pun melakukan analisis dengan mengamati bagaimana proses pembuatan state nya bekerja. Berikut hal-hal yang kami dapatkan: Tidak seperti pada Toko Masker 1, kali ini, ketika kami mengirimkan data produk dengan price yang telah dimodifikasi, state yang dihasilkan rupanya […]
[Cyber Jawara 2020 Qualification] – Toko Masker 1
Diberikan sebuah web yang dapat digunakan untuk membeli masker di masa pandemi Covid-19 ini. Keterangan pada soal memberitahu bahwa untuk mendapatkan flag, kami harus membeli masker N-99 sebanyak 100 buah (dengan harga $100 per buah). Namun kami hanya memiliki uang sebanyak $100. Kami pun melakukan analisis terhadap HTML dari web tersebut, dan menemukan beberapa hal […]
[Cyber Jawara 2020 Qualification] – Snake 2020
pada challenge ini kami menerima sebuah file .jar >< unch unch java, pada saat dijalankan javanya akan terlihat seperti game snake kayak biasamemang sungguh bukan ular biasa, bercanda gan, kemudian seperti yang terlihat di gambar diatas file tersebut akan membuka sebuah game snake yang terlihat biasa biasa saja, dari deskripsi soal terlihat bahwa jika kita […]
[Cyber Jawara 2020 Qualification] – Syscall
Pada soal ini, sesuai dengan deskripsi soal, kita diminta untuk melakukan syscall. Mari kita coba lihat isi netcat. Program memberikan address untuk alamat flag yang akan berubah setiap saat nc di eksekusi. Kemudian, program akan meminta input nomor syscall, kemudian argument yang diperlukan untuk syscall yang ingin dipanggil. Namun, terdapat beberapa syscall yang di blacklist. […]
[Cyber Jawara 2020 Qualification] – ROP
Pada soal ini, peserta tidak diberikan binary, melainkan hanya informasi mengenai binary yang berjalan di server. Dari informasi yang diberikan pada deskripsi soal, binary yang berjalan memiliki konfigurasi kurang lebih sebagai berikut: RELRO: Partial RELRO Canary: Disabled NX: Enabled PIE: No PIE Selain itu diberikan informasi dari file elf_info dimana kita dapat mengetahui architecture dari […]
[TJCTF2020] – Admin Secrets
Given a website, where a person can login and register. Both are irrelevant to the challenge, so I will cut the chase. The other feature, the ‘relevant’ feature of the challenge, is a feature that allows the user to write a note and even send the note to an admin (evil laugh). It isn’t hurt […]