[Harekaze CTF 2019] – Encode and Encode

Diberikan sebuah web beserta source code. http://153.127.202.154:1001/ Dari website tersebut sepertinya hanya ada 3 url, yang pertama ke about.html, kedua ke lorem.html, dan yang ketiga ke bagian source code dari file query.php. Mari kita lihat terlebih dahulu isi dari query.php.

Inti dari source code ini adalah input yang kita kirim harus dalam bentuk encoded json karena adanya […]

[INS’hAck 2019] – Exploring The Universe

Challenge Description: Will you be able to find the flag in the universe/ ? I’ve been told that the guy who wrote this nice application called server.py is a huge fan of nano (yeah… he knows vim is better). Challenge URL: http://exploring-the-universe.ctf.insecurity-insa.fr/ Kita diberikan sebuah web yang berisi game berbasis javascript. Hmm, tidak terlihat ada yang menarik. Mari kita coba lihat page-source. […]

[Root-Me]PHP filters

Saya diberikan sebuah website sebagai berikut Karena pada judul dari soal tersebut adalah PHP Filter, saya mengasumsikan bahwa website tersebut vuln terhadap PHP Filter, PHP Filter memungkinkan kita mengencode web yang kita mau. dan ketika saya test mengencode login.php ternyata berhasil PAYLOAD =

Selanjutnya saya melakukan decode dan membaca code tersebut, dan menghasilkan code […]

[Ringzer0]: What’s the Definition of NULL?

HARI INI KITA BELAJAR SQLi(te)! Soal yang ini agak lucu sih soalnya paradox gitu dan mengerti kenapa harus dijadikan paradox kayak gitu agak sulit. But we’ll get there in the process. Let’s start. Jadi kita dapet soal seperti ini pas dibuka: Nah, yang menarik adalah id=MQ== di urlnya (karena saya selalu ketriggered kalo ngeliat soal […]

[Ringzer0]: Don’t mess with Noemie; she hates admin!

DID YOU HECKIN MISS ME?? Call me phoenix bcs I’m back from death. Okeh kali ini kita ambil soal dari Ringzer0, tempat fevorit saya karena saya jadi trendsetter di komunitas ini gara gara ringzero. Jadi soalnya seperti ini: Informasi yang kita dapat adalah: 1. Usernamenya bukan admin 2. … gak ada lagi sih… Dan kalau […]

[PicoCTF 2018]: fancy-alive-monitoring!

### URL : http://2018shell2.picoctf.com:56517/index.php Writeup Aslinya: https://github.com/liuhack/writeups/blob/master/2018/picoCTF/Fancy-alive-monitoring/README.md https://rawsec.ml/en/picoCTF-2018-write-up/#400-fancy-alive-monitoring-web   Awalnya saya tidak mengerti cara menyelesaikan problem ini namun ketika beberapa orang ini membuat sebuah writeup tentang ” PicoCTF 2018 – fancy-alive-monitoring! ” saya jadi mengerti dan dapat membuat writeup ini yang saya coba sendiri dan berhasil maka saya tuliskan dalam bahasa indonesia Diberikan sebuah website […]

[Cyber Jawara 2018 Qualification] – Login Form

Diberikan sebuah website dengan source code sebagai berikut:

Website ini mengharuskan kita untuk memasukkan input yang akan divalidasi dan memunculkan flag. Pertama, mari kita lihat fungsi login.

Fungsi login tersebut menerima 2 parameter yakni username dan hash. Dalam fungsi tersebut akan dilakukan validasi jika variabel username berisi “CJ” dan variabel hash berisi “81eb1cf42dc766553d51bc73d70adebe8607031b” maka fungsi tersebut akan return true. Sebaliknya jika […]

[Nuit du Hack CTF Quals 2018]: Crawl me maybe!

### URL : http://crawlmemaybe.challs.malice.fr/ Di berikan sebuah situs yang jika di buka menggunakan penjelajah situs maka akan menampilkan seperti gambar berikut. Contoh jika kita menginputkan : http://www.google.com . Namun apabila kita coba memaksa akses page lain, maka kita akan di arahkan ke sebuah situs. Ketika memanipulasi parameter url= pada situs http://crawlmemaybe.challs.malice.fr/result . Yang kita dapatkan yaitu kata-kata […]

[Ringezer0]: PHP Fairy

Link Soal : https://ringzer0team.com/challenges/254 Saya diberikan sebuah website yang berisi password dan sebuah source code Web: Source Code:

dari source code saya sudah dapat menentukan ketentuan dari password yang harus di input , panjang stringnya harus sama dengan hasil hashing md5 $pass string inputan tidak boleh sama dengan $pass karena dalam source code saya harus […]

[Ringzer0]: Why not?

Challenge URL: https://ringzer0team.com/challenges/34 Kita diberikan sebuah website dengan proses validasi yang dijalankan dengan menggunakan Javascript (Client-side Authentication). Karena Javascript itu berjalan di client, maka kita bisa langsung melihat source code dari javascriptnya melewati view-page source (CTRL + U). Pada source code javascript yang tertera, dapat kita lihat bahwa username yang harus digunakan untuk login adalah ‘administrator’. […]