Category: Web Exploitation

[Cyber Jawara 2019 Qualification] – Mysterious

Posted in Web Exploitation by Angeline Leave a Comment on [Cyber Jawara 2019 Qualification] – Mysterious

Link soal: http://203.34.119.237:50000/shell.php Diberikan soal sebagai berikut: Kita mendapatkan file code sebagai berikut: Hal pertama yang kita lakukan adalah mencoba untuk membuka link soal tersebut dan kita hanya mendapatkan halaman kosong. Kemudian kita mencoba untuk mengartikan maksud dari code yang dikasih dari soal tadi. Setelah kita mencoba untuk membacanya, kita mendapati bahwa code tersebut terbagi […]

[HackTheBox – CTF] – Fuzzy

Posted in Web Exploitation by EternalBeats Leave a Comment on [HackTheBox – CTF] – Fuzzy

Pada soal kali ini kita diberikan website yang terlihat tidak ada apa-apa. sema fiture terlihat useless, search function yang tidak memberikan hasil apapun dan link redirect yang tidak kemana-mana. Karena semua linknya menuju /# saya berfikir bahwa terdapat file yang tersembunyi, so I pull out Dirbuster untuk mencari apapun itu yang ada didalam website ini. […]

[Overthewire] – Natas9,10

Posted in Web Exploitation by Bryan Lee Leave a Comment on [Overthewire] – Natas9,10

http://natas9.natas.labs.overthewire.org/ Username : natas9 Password : W0mMhUcRRnG8dcghE4qvk3JA9lGt8nDl Pertama diberikan sebuah tampilan Memasukkan sebuah kata, kita akan mendapatkan balasan berupa Sekilas terlihat seperti terjadi sebuah mekanisme search dari sebuah wordlist berdasarkan regex yang dimasukkan. Mari kita cek source codenya

Terdapat sebuah code PHP untuk melakukan grep, dan passthru dipercayakan untuk melakukan grep. Passthru akan melakukan eksekusi […]

[RingZer0] XSS Challenge 2

Posted in Web Exploitation by Kevin Wibamanto Leave a Comment on [RingZer0] XSS Challenge 2

Diberi sebuah input box jika kita input sesuatu, dia akan memprint sesuatu itu Setelah saya meng-F12 page, tidak ada hidden input atau hal yang menarik lainnya. Jadi saya coba memasukkan html tag <img> payloadnya <img src=”” onerror=”javascript:alert(1)”> Muncul gambar invalid, setelah dicek ternyata symbol-symbol petik telah di escape dan petik-petik baru telah di tambahkan. Saya […]

[RingZer0] XSS Challenge 1

Posted in Web Exploitation by Kevin Wibamanto Leave a Comment on [RingZer0] XSS Challenge 1

Diberi sebuah web dengan sebuah input box Setelah meng-F12 page ini, saya menemukan sebuah hidden input Maka saya coba input “asdasd” di input box, dan ternyata input tersebut muncul di element <embed> sebagai atribut “src” Saya pikir ini mirip dengan XSS melalui element <img> karena juga memasukkan payload di atribut “src”. Saya juga melihat ada […]

[HackTheBox – CTF] – Emdee five for life

Posted in Web Exploitation by EternalBeats Leave a Comment on [HackTheBox – CTF] – Emdee five for life

Pada soal kali ini kita diberikan website dengan 1 text box dan kita diberikan intruksi bahwa kita diminta untuk menencrypt suatu string menjadi MD5. So let’s do just that. Saat kita memasukan MD5 nya, kita dapat response “Too slow!”. Let’s try some scripting.

Dengan ini kita dapat mengambil string dalam website tersebut dan langsung […]

[Overthewire] – Natas6,7,8

Posted in Web Exploitation by Bryan Lee Leave a Comment on [Overthewire] – Natas6,7,8

http://natas6.natas.labs.overthewire.org/ username : natas6 password : aGoY4q2Dc6MgDq4oL4YtoKtyAg9PeHa1 Tampilan pertama halaman web adalah seperti dibawah ini Terdapat sebuah field untuk memasukkan input dan link untuk menuju source codenya di http://natas6.natas.labs.overthewire.org/index-source.html

Ditengah terdapat sebuah code php yang akan saya jelaskan, pertama codenya melakukan include sebuah file di folder includes bernama secret.inc , kemudian melakukan pengecekan jika input sudah […]

[HackTheBox – CTF] – Lernaean

Posted in Web Exploitation by EternalBeats Leave a Comment on [HackTheBox – CTF] – Lernaean

Di challenge kali ini kita diberikan website dengan 1 textbox, bila kita masukan hal random diberikan response “Invalid password!”. Dan bila kita mencoba basic SQL injection tidak memberikan hal baru apapun. Karena dibilang “do not try to guess my password”, so I thought let’s try some bruteforce.

Script ini sederhana hanya mencoba semua line […]

[Root-Me] – SQL injection – String

Posted in Web Exploitation by Christoval Leaved Leave a Comment on [Root-Me] – SQL injection – String

Challenge Description: Diberikan sebuah web service dengan beberapa fitur ( Home, Search, Login ) Dari judul soal kita sudah dapat mengetahui ini adalah soal sql injection, salah satu celah yang dapat digunakan adalah user input. Pada web service tersebut ada 2 user input pada page search dan login. Setelah beberapa saat mencari dimana titik celahnya, […]