[CTFLEARN v2] – INJ3CTION TIME

100 points Hard Link: http://web.ctflearn.com/web8/ Diberikan sebuah soal untuk melakukan SQLi, dengan petunjuk UNION. Ketika membuka website yang diberikan, dapat terlihat 3 output, yaitu name, breed, dan color. Dari sini saya menarik kesimpulan bahwa database website memiliki 4 kolom yaitu, ID(input), name, breed, dan color. Dengan petunjuk yang diberikan pertama dan diketahuinya banyak kolom saya […]

[Hacker101 CTF] – Photo Gallery

Difficulty: Moderate(6/flag) 3Flag Diberikan sebuah website Dengan petunjuk untuk flag pertama Note: untuk petunjuk ketiga baca https://hub.docker.com/r/tiangolo/uwsgi-nginx/ untuk memahami uwsgi-nginx-flask-docker image. Dari hint ini, kita dapat mengetahui bahwa soal ini memiliki celah keamanan SQL pada fetch sebagai query (fetch/?id=query). Selain itu, diberikan petunjuk bahwa aplikasi dijalankan oleh uwsgi-nginx-flask-docker image. Hal ini, menunjukan bahwa file yang […]

[Hacker101] – Micro-CMS v2

Difficulty: Moderate(3/flag) Note: Diharapkan mengerti menggunakan curl dan burp sebelum membaca writeup ini. Curl terutama pada fungsi -X dan Burp suite untuk intruder attack bruteforce. Diberikan sebuah website Dengan petunjuk untuk flag pertama Ketika kita membuka create new page, akan muncul halaman user input. Ketika kita memasukkan kutip 1 (‘) ke dalam username, website akan […]

[Hacker101 CTF] – TempImage

Difficulty: Moderate Flag : 2 (4/flag) Note: disarankan untuk mempelajari curl dan burp suite terlebih dahulu. Diberikan sebuah website upload image Dengan hint untuk flag pertama Dari hint yang diberikan, saya mencoba mengupload gambar capture soal ini. Ternyata gambar yang saya upload akan di run oleh website tersebut dan filename yang saya upload berubah menjadi […]

[Hacker101 CTF] – Cody’s First Blog

Difficulty : Moderate (3 flag) Diberikan sebuah website blog seperti berikut Dan beberapa hint dari hacker101. Dapat kita lihat bahwa website tersebut menggunakan PHP. Dari petunjuk tersebut, saya mencoba untuk membuat php code sederhana dalam comment tersebut.   Ketika saya melakukan submit, flag pertama dari soal tersebut muncul. Flag 1= ^FLAG^f9980cde5f18742187362511451753704d2f0c93ad1668f756c7fb0d0408a62b$FLAG$ Untuk petunjuk flag selanjutnya […]

[INDOSECURITY2019] – Browsing Browsing

Notes: Sebelum membedah soal ini ada baiknya memahami tools curl, karena saya menggunakan tools ini untuk menyelesaikan soal ini. Saya menggunakan curl karena menurut saya curl cukup mudah digunakan untuk soal-soal yang membutuhkan perubahan seperti pada soal ini (user-agent, header, dan port). Diberikan sebuah website http://203.201.167.78:9999/ yang berisikan tulisan [Use-INDOSECURITY2019-For-U]. Dari clue yang diberikan, hal […]