Category: Web Exploitation

[PWN2WIN CTF 2021] – illusion

Pada soal ini, saya diberikan sebuah soal yang tidak biasa. Disini saya diminta untuk melakukan koneksi pada server dengan menggunakan netcat. Untuk mengetahui lebih lanjut tentang apa yang diminta pada soal ini, saya mengcopy command nc yang sudah diberikan dari soal dan setelah itu saya menjalankan command tersebut pada terminal. Ternyata kita diminta untuk memasukkan… Continue reading [PWN2WIN CTF 2021] – illusion

[Cyber Apocalypse CTF 2021] – emoji voting

Diberikan sebuah web dan source code. Web berisikan fungsi untuk melakukan vote terhadap emoji-emoji. Tidak ada yang menarik sejauh ini. Mari kita lihat apa yang dikirim saat melakukan vote. Saat melakukan vote, main.js akan dipanggil dan mengirim data tertentu. Berikut isi dari main.js.: Ada potongan code yang menarik. Yakni pada bagian saat memanggil API /api/list.… Continue reading [Cyber Apocalypse CTF 2021] – emoji voting

[Cyber Jawara 2020 Qualification] – Extra Mile

Diberikan sebuah web yang berisi halaman login, dimana credential untuk login ke web tersebut sudah diberikan pada deskripsi challenge, yakni admin:admin. Setelah berhasil login, kami mencoba menemukan apa yang bisa dilakukan pada web tersebut, namun nihil. Di dalam web tersebut hanya terdapat sebuah logo statis Cyber Jawara. Karena tidak menemukan apapun untuk dilakukan, kami beralih… Continue reading [Cyber Jawara 2020 Qualification] – Extra Mile

[Cyber Jawara 2020 Qualification] – Toko Masker 2

Challenge kali ini merupakan sequel dari challenge sebelumnya, Toko Masker 1. Karena web nya masih serupa, kami pun melakukan analisis dengan mengamati bagaimana proses pembuatan state nya bekerja. Berikut hal-hal yang kami dapatkan: Tidak seperti pada Toko Masker 1, kali ini, ketika kami mengirimkan data produk dengan price yang telah dimodifikasi, state yang dihasilkan rupanya… Continue reading [Cyber Jawara 2020 Qualification] – Toko Masker 2

[Cyber Jawara 2020 Qualification] – Toko Masker 1

Diberikan sebuah web yang dapat digunakan untuk membeli masker di masa pandemi Covid-19 ini. Keterangan pada soal memberitahu bahwa untuk mendapatkan flag, kami harus membeli masker N-99 sebanyak 100 buah (dengan harga $100 per buah). Namun kami hanya memiliki uang sebanyak $100. Kami pun melakukan analisis terhadap HTML dari web tersebut, dan menemukan beberapa hal… Continue reading [Cyber Jawara 2020 Qualification] – Toko Masker 1

[HackTheBox – CTF] – ezpz

Diberikan website yang langsung memunculkan error. Error pertama dibilang “obj” tidak ada, jadi sepertinya kita perlu memprovide dengan menggunakan variable “obj”, memasukan obj dengan method get bisa dilihat error pertama hilang. Untuk error kedua harus ada sedikit bacaan, dibilang terdapat non-object ‘ID’ sepertinya kita perlu memprovide “ID” juga tetapi berbeda dengan “obj”. Membaca sedikit tentang… Continue reading [HackTheBox – CTF] – ezpz

[RingZer0] – Thinking outside the box is the key

Link soal: https://ringzer0ctf.com/challenges/39/?id=2 Dikarenakan soal tersebut merupakan soal SQLinjection, kita langsung mencoba untuk menambahkan ‘ pada akhir url tersebut https://ringzer0ctf.com/challenges/39/?id=2′ Lalu terdapat tampilan error sebagai berikut Dapat kita lihat, ternyata mereka menggunakan SQLite dan kita berhasil menemukan tempat untuk melaksanakan SQLinjection attack ini Selanjutnya, kita menentukan ada berapa column yang diperlukan agar kita bisa menggunakan… Continue reading [RingZer0] – Thinking outside the box is the key

[HackTheBox – CTF] – Grammar

Diberikan website yang kita tidak bisa dimasuki, di check dalam burp juga tidak memiliki apapun yang special. With a bit of manual bruteforce saya menemukan page index.php dengan menggunakan method POST menghasilkan output yang berbeda. Seems like we have some input stuff, coba menginput apapun tidak memberikan output apapun, hanya “only lowercase characters” bila diberikan… Continue reading [HackTheBox – CTF] – Grammar