[HackTheBox – CTF] – ezpz

Diberikan website yang langsung memunculkan error. Error pertama dibilang “obj” tidak ada, jadi sepertinya kita perlu memprovide dengan menggunakan variable “obj”, memasukan obj dengan method get bisa dilihat error pertama hilang. Untuk error kedua harus ada sedikit bacaan, dibilang terdapat non-object ‘ID’ sepertinya kita perlu memprovide “ID” juga tetapi berbeda dengan “obj”. Membaca sedikit tentang […]

[RingZer0] – Thinking outside the box is the key

Link soal: https://ringzer0ctf.com/challenges/39/?id=2 Dikarenakan soal tersebut merupakan soal SQLinjection, kita langsung mencoba untuk menambahkan ‘ pada akhir url tersebut https://ringzer0ctf.com/challenges/39/?id=2′ Lalu terdapat tampilan error sebagai berikut Dapat kita lihat, ternyata mereka menggunakan SQLite dan kita berhasil menemukan tempat untuk melaksanakan SQLinjection attack ini Selanjutnya, kita menentukan ada berapa column yang diperlukan agar kita bisa menggunakan […]

[HackTheBox – CTF] – Grammar

Diberikan website yang kita tidak bisa dimasuki, di check dalam burp juga tidak memiliki apapun yang special. With a bit of manual bruteforce saya menemukan page index.php dengan menggunakan method POST menghasilkan output yang berbeda. Seems like we have some input stuff, coba menginput apapun tidak memberikan output apapun, hanya “only lowercase characters” bila diberikan […]

[Overthewire] – Natas16

Link : http://natas16.natas.labs.overthewire.org/ User : natas16 Password : WaIHEacj63wnNIBROHeqi3p9t0m5nhmh Diberikan tampilan awal Nampaknya kita pernah menemukan soal natas yang ini di challenge sebelumnya, mari kita coba berikan input. Nampaknya benar, web ini digunakan sebagai sebuah dictionary berbasis regex. Mari kita coba cek source code nya

Tetapi, pada challenge kali ini ada beberapa character yang di ban […]

[CTFLEARN v2] – INJ3CTION TIME

100 points Hard Link: http://web.ctflearn.com/web8/ Diberikan sebuah soal untuk melakukan SQLi, dengan petunjuk UNION. Ketika membuka website yang diberikan, dapat terlihat 3 output, yaitu name, breed, dan color. Dari sini saya menarik kesimpulan bahwa database website memiliki 4 kolom yaitu, ID(input), name, breed, dan color. Dengan petunjuk yang diberikan pertama dan diketahuinya banyak kolom saya […]

[Overthewire] – Natas15

Penulis tidak akan membuat writeup untuk Natas14 karena payload yang digunakan merupakan SQLi paling basic yaitu

Didapatkan password untuk natas15 Link : http://natas15.natas.labs.overthewire.org/ User : Natas15 Password : AwWj0w5cvxrZiONgZ9J5stNVkmxdk39J Diberikan sebuah tampilan form dengan input Username dan button Check existence. Mari kita coba memasukkan input “a” Setelah mencoba beberapa kali, penulis berhasil menemukan user yang exist […]

[Hacker101 CTF] – Ticketastic: Live Instance

Link soal: http://34.94.3.143/540b685c3c/ Diberikan soal sebagai berikut: Langkah pertama yang kita lakukan adalah mencoba admin login dengan menggunakan id “admin” dan password “admin”. Akan tetapi, invalid password. Sehingga kita mencoba untuk melakukan admin login pada bagian Ticketastic: Demo Instance. Kita berhasil masuk sebagai admin pada bagian Demo dan tampilannya adalah seperti ini Kita mencoba untuk […]

[HackTheBox – CTF] – I know mag1k

Diberikan sebuah web berisikan login dan register page. Mencoba beberapa serangan ke login page tidak membuahkan hasil maka saya mulai membuat account dengan register terlebih dahulu. Setelah masuk ke dalam account yang dibuat tidak terlihat seperti ada apapun yang menarik, jadi saya berfikir bagaimana untuk mengganti user yang aktif. Teringat bahwa biasanya kita bisa memanipulasi […]