[Hacker101 CTF] – Ticketastic: Live Instance

Link soal: http://34.94.3.143/540b685c3c/ Diberikan soal sebagai berikut: Langkah pertama yang kita lakukan adalah mencoba admin login dengan menggunakan id “admin” dan password “admin”. Akan tetapi, invalid password. Sehingga kita mencoba untuk melakukan admin login pada bagian Ticketastic: Demo Instance. Kita berhasil masuk sebagai admin pada bagian Demo dan tampilannya adalah seperti ini Kita mencoba untuk […]

[RingZer0] – Security through obscurity!

Link soal: https://ringzer0ctf.com/challenges/45/ Diberikan soal sebagai berikut Hal yang pertama kita lakukan adalah mencoba untuk mencari-cari sesuatu di inspect element Setelah beberapa waktu kita melihat-lihat, kita menemukan keanehan pada bagian cookie Pada cookie, terdapat tulisan AUTH (authentication), lalu kita pun melihat value dari AUTH tersebut Setelah kita lihat value dari AUTH “Z3Vlc3QsN2M2MjEyYzdjZmQ5YjRkYiwxNTY5ODYzOTU1LGZhbHNlOjZhYzk1ZjViNDM4Yzk3Y2I5NzcxM2NhNTM4NjJiN2I4” Kita bisa lihat […]

[Cyber Jawara 2019 Qualification] – Mysterious

Link soal: http://203.34.119.237:50000/shell.php Diberikan soal sebagai berikut: Kita mendapatkan file code sebagai berikut: Hal pertama yang kita lakukan adalah mencoba untuk membuka link soal tersebut dan kita hanya mendapatkan halaman kosong. Kemudian kita mencoba untuk mengartikan maksud dari code yang dikasih dari soal tadi. Setelah kita mencoba untuk membacanya, kita mendapati bahwa code tersebut terbagi […]

[Google CTF] – BNV

Link soal: https://bnv.web.ctfcompetition.com Diberikan soal sebagai berikut Kita mencoba untuk melakukan submit dan tanggapan dari server adalah Lalu kita mencoba untuk melakukan intercept dengan menggunakan bantuan Burp Suite. Sebelumnya, kita mengganti url tersebut menggunakan “http” agar kita bisa menginterceptnya Kita menemukan {“message”:”135601360123502401401250″} yang dalam bentuk JSON dengan key nya message dan value nya 135601360123502401401250 Value […]

[RingZer0] – Generate Random Quote

Link soal: https://ringzer0ctf.com/challenges/37?q=1 Diberikan soal sebagai berikut: Hal yang pertama dilakukan adalah mencoba untuk menambahkan petik (‘) di akhir url tersebut Ternyata tidak menghasilkan apa-apa. Selanjutnya kita coba untuk menambahkan union select 1# Selanjutnya kita mencoba untuk menambahkannya menjadi union select 1,2# Di sini dapat kita lihat bahwa inputan kita yang tadinya mengandung spasi, ternyata […]

[RingZer0] – Login portal 2

Link soal: https://ringzer0ctf.com/challenges/4 Diberikan soal sebagai berikut Dikarenakan soal ini merupakan salah satu soal tentang SQL Injection, hal pertama yang kita lakukan adalah memasukkan payload ‘OR 1=1#. Ketika kita memasukkan payload tersebut, respon dari server adalah sebagai berikut. Di sini kita mendapatkan username impossibletoguess, dan kita harus mengetahui passwordnya untuk mendapatkan flag. Langkah selanjutnya yang […]

[Compfest11 Qualification] – Pendaftaran Volunteer AYEY

Pada soal ini, kita hanya bisa mengupload file dalam bentuk JPEG/GIF/MP4/ZIP. Kita tidak dapat menuploadfile dalam bentuk yang lainnya (php/python/etc). Setelah melihat bentuk soal ini, saya langsung menebak bahwa pada soal ini kita harus menupload file script yang berisikan system($_GET[‘a’]);. Saya memperkirakan ini karena pada soal ini, kita diharuskan untuk mengupload suatu file untuk dapat […]

[RingZer0] – Random Login Form

Link soal: https://ringzer0ctf.com/challenges/171 Hal pertama yang saya lakukan adalah memasukkan payload simple dari SQL yaitu ‘ or 1=1# karena dari jenis soalnya adalah SQL injection, akan tetapi saya tidak mendapatkan apa-apa. Sehingga saya mencoba untuk melakukan register account baru dan mencoba untuk login. Saya berhasil masuk dan tertulis “seems like your not an admin”. Di […]

[Internetwache CTF 2016]: Rev60 – File Checker

Original Write up : https://github.com/jmazzola/CTFs/tree/master/Internetwache%20CTF%202016/Reversing/Rev60%20-%20File%20Checker File : https://github.com/jmazzola/CTFs/blob/master/Internetwache%20CTF%202016/Reversing/Rev60%20-%20File%20Checker/rev60.zip Saya buka file tersebut di IDA pro dan membuka pseudo codenya. Di dalam codingan ini, for tersebut akan melakukan looping sebanyak 15x dimana dia melakukan looping terhadap function sub_40079C. Kita buka pseudo code di function sub_400790C. Di dalam function sub_400790C ini ada 15 integer yang menyimpan angka-angka […]

ASIS CTF Quals 2015: dark

File dark ini merupakan ELF 64-bit LSB executable, x86-64, version 1 (SYSV), dynamically linked, interpreter /lib64/ld-linux-x86-64.so.2, for GNU/Linux 2.6.26, BuildID[sha1]=b3fd37b76503bda914d483041798fb9ec88ab929, stripped Saya buka file ini di IDA pro dan membuka pseudo codenya. Di dalam pseudocode ini, dapat kita lihat ketika kita membuka file yang berisikan flag, isi dari file tersebut akan dimodif dan dituliskan kembali […]