[RingZer0] – Thinking outside the box is the key

Link soal: https://ringzer0ctf.com/challenges/39/?id=2 Dikarenakan soal tersebut merupakan soal SQLinjection, kita langsung mencoba untuk menambahkan ‘ pada akhir url tersebut https://ringzer0ctf.com/challenges/39/?id=2′ Lalu terdapat tampilan error sebagai berikut Dapat kita lihat, ternyata mereka menggunakan SQLite dan kita berhasil menemukan tempat untuk melaksanakan SQLinjection attack ini Selanjutnya, kita menentukan ada berapa column yang diperlukan agar kita bisa menggunakan […]

[Hacker101 CTF] – Ticketastic: Live Instance

Link soal: http://34.94.3.143/540b685c3c/ Diberikan soal sebagai berikut: Langkah pertama yang kita lakukan adalah mencoba admin login dengan menggunakan id “admin” dan password “admin”. Akan tetapi, invalid password. Sehingga kita mencoba untuk melakukan admin login pada bagian Ticketastic: Demo Instance. Kita berhasil masuk sebagai admin pada bagian Demo dan tampilannya adalah seperti ini Kita mencoba untuk […]

[RingZer0] – Security through obscurity!

Link soal: https://ringzer0ctf.com/challenges/45/ Diberikan soal sebagai berikut Hal yang pertama kita lakukan adalah mencoba untuk mencari-cari sesuatu di inspect element Setelah beberapa waktu kita melihat-lihat, kita menemukan keanehan pada bagian cookie Pada cookie, terdapat tulisan AUTH (authentication), lalu kita pun melihat value dari AUTH tersebut Setelah kita lihat value dari AUTH “Z3Vlc3QsN2M2MjEyYzdjZmQ5YjRkYiwxNTY5ODYzOTU1LGZhbHNlOjZhYzk1ZjViNDM4Yzk3Y2I5NzcxM2NhNTM4NjJiN2I4” Kita bisa lihat […]

[Cyber Jawara 2019 Qualification] – Mysterious

Link soal: http://203.34.119.237:50000/shell.php Diberikan soal sebagai berikut: Kita mendapatkan file code sebagai berikut: Hal pertama yang kita lakukan adalah mencoba untuk membuka link soal tersebut dan kita hanya mendapatkan halaman kosong. Kemudian kita mencoba untuk mengartikan maksud dari code yang dikasih dari soal tadi. Setelah kita mencoba untuk membacanya, kita mendapati bahwa code tersebut terbagi […]

[Google CTF] – BNV

Link soal: https://bnv.web.ctfcompetition.com Diberikan soal sebagai berikut Kita mencoba untuk melakukan submit dan tanggapan dari server adalah Lalu kita mencoba untuk melakukan intercept dengan menggunakan bantuan Burp Suite. Sebelumnya, kita mengganti url tersebut menggunakan “http” agar kita bisa menginterceptnya Kita menemukan {“message”:”135601360123502401401250″} yang dalam bentuk JSON dengan key nya message dan value nya 135601360123502401401250 Value […]

[RingZer0] – Generate Random Quote

Link soal: https://ringzer0ctf.com/challenges/37?q=1 Diberikan soal sebagai berikut: Hal yang pertama dilakukan adalah mencoba untuk menambahkan petik (‘) di akhir url tersebut Ternyata tidak menghasilkan apa-apa. Selanjutnya kita coba untuk menambahkan union select 1# Selanjutnya kita mencoba untuk menambahkannya menjadi union select 1,2# Di sini dapat kita lihat bahwa inputan kita yang tadinya mengandung spasi, ternyata […]

[RingZer0] – Login portal 2

Link soal: https://ringzer0ctf.com/challenges/4 Diberikan soal sebagai berikut Dikarenakan soal ini merupakan salah satu soal tentang SQL Injection, hal pertama yang kita lakukan adalah memasukkan payload ‘OR 1=1#. Ketika kita memasukkan payload tersebut, respon dari server adalah sebagai berikut. Di sini kita mendapatkan username impossibletoguess, dan kita harus mengetahui passwordnya untuk mendapatkan flag. Langkah selanjutnya yang […]

[Compfest11 Qualification] – Pendaftaran Volunteer AYEY

Pada soal ini, kita hanya bisa mengupload file dalam bentuk JPEG/GIF/MP4/ZIP. Kita tidak dapat menuploadfile dalam bentuk yang lainnya (php/python/etc). Setelah melihat bentuk soal ini, saya langsung menebak bahwa pada soal ini kita harus menupload file script yang berisikan system($_GET[‘a’]);. Saya memperkirakan ini karena pada soal ini, kita diharuskan untuk mengupload suatu file untuk dapat […]

[RingZer0] – Random Login Form

Link soal: https://ringzer0ctf.com/challenges/171 Hal pertama yang saya lakukan adalah memasukkan payload simple dari SQL yaitu ‘ or 1=1# karena dari jenis soalnya adalah SQL injection, akan tetapi saya tidak mendapatkan apa-apa. Sehingga saya mencoba untuk melakukan register account baru dan mencoba untuk login. Saya berhasil masuk dan tertulis “seems like your not an admin”. Di […]

[Internetwache CTF 2016]: Rev60 – File Checker

Original Write up : https://github.com/jmazzola/CTFs/tree/master/Internetwache%20CTF%202016/Reversing/Rev60%20-%20File%20Checker File : https://github.com/jmazzola/CTFs/blob/master/Internetwache%20CTF%202016/Reversing/Rev60%20-%20File%20Checker/rev60.zip Saya buka file tersebut di IDA pro dan membuka pseudo codenya. Di dalam codingan ini, for tersebut akan melakukan looping sebanyak 15x dimana dia melakukan looping terhadap function sub_40079C. Kita buka pseudo code di function sub_400790C. Di dalam function sub_400790C ini ada 15 integer yang menyimpan angka-angka […]