[Cyber Jawara 2019 Qualification] – Mysterious

Link soal: http://203.34.119.237:50000/shell.php Diberikan soal sebagai berikut: Kita mendapatkan file code sebagai berikut: Hal pertama yang kita lakukan adalah mencoba untuk membuka link soal tersebut dan kita hanya mendapatkan halaman kosong. Kemudian kita mencoba untuk mengartikan maksud dari code yang dikasih dari soal tadi. Setelah kita mencoba untuk membacanya, kita mendapati bahwa code tersebut terbagi […]

[HackTheBox – CTF] – Fuzzy

Pada soal kali ini kita diberikan website yang terlihat tidak ada apa-apa. sema fiture terlihat useless, search function yang tidak memberikan hasil apapun dan link redirect yang tidak kemana-mana. Karena semua linknya menuju /# saya berfikir bahwa terdapat file yang tersembunyi, so I pull out Dirbuster untuk mencari apapun itu yang ada didalam website ini. […]

[Overthewire] – Natas9,10

http://natas9.natas.labs.overthewire.org/ Username : natas9 Password : W0mMhUcRRnG8dcghE4qvk3JA9lGt8nDl Pertama diberikan sebuah tampilan Memasukkan sebuah kata, kita akan mendapatkan balasan berupa Sekilas terlihat seperti terjadi sebuah mekanisme search dari sebuah wordlist berdasarkan regex yang dimasukkan. Mari kita cek source codenya

Terdapat sebuah code PHP untuk melakukan grep, dan passthru dipercayakan untuk melakukan grep. Passthru akan melakukan eksekusi […]

[RingZer0] XSS Challenge 2

Diberi sebuah input box jika kita input sesuatu, dia akan memprint sesuatu itu Setelah saya meng-F12 page, tidak ada hidden input atau hal yang menarik lainnya. Jadi saya coba memasukkan html tag <img> payloadnya <img src=”” onerror=”javascript:alert(1)”> Muncul gambar invalid, setelah dicek ternyata symbol-symbol petik telah di escape dan petik-petik baru telah di tambahkan. Saya […]

[RingZer0] XSS Challenge 1

Diberi sebuah web dengan sebuah input box Setelah meng-F12 page ini, saya menemukan sebuah hidden input Maka saya coba input “asdasd” di input box, dan ternyata input tersebut muncul di element <embed> sebagai atribut “src” Saya pikir ini mirip dengan XSS melalui element <img> karena juga memasukkan payload di atribut “src”. Saya juga melihat ada […]

[HackTheBox – CTF] – Emdee five for life

Pada soal kali ini kita diberikan website dengan 1 text box dan kita diberikan intruksi bahwa kita diminta untuk menencrypt suatu string menjadi MD5. So let’s do just that. Saat kita memasukan MD5 nya, kita dapat response “Too slow!”. Let’s try some scripting.

Dengan ini kita dapat mengambil string dalam website tersebut dan langsung […]

[Overthewire] – Natas6,7,8

http://natas6.natas.labs.overthewire.org/ username : natas6 password : aGoY4q2Dc6MgDq4oL4YtoKtyAg9PeHa1 Tampilan pertama halaman web adalah seperti dibawah ini Terdapat sebuah field untuk memasukkan input dan link untuk menuju source codenya di http://natas6.natas.labs.overthewire.org/index-source.html

Ditengah terdapat sebuah code php yang akan saya jelaskan, pertama codenya melakukan include sebuah file di folder includes bernama secret.inc , kemudian melakukan pengecekan jika input sudah […]

[HackTheBox – CTF] – Lernaean

Di challenge kali ini kita diberikan website dengan 1 textbox, bila kita masukan hal random diberikan response “Invalid password!”. Dan bila kita mencoba basic SQL injection tidak memberikan hal baru apapun. Karena dibilang “do not try to guess my password”, so I thought let’s try some bruteforce.

Script ini sederhana hanya mencoba semua line […]

[Root-Me] – SQL injection – String

Challenge Description: Diberikan sebuah web service dengan beberapa fitur ( Home, Search, Login ) Dari judul soal kita sudah dapat mengetahui ini adalah soal sql injection, salah satu celah yang dapat digunakan adalah user input. Pada web service tersebut ada 2 user input pada page search dan login. Setelah beberapa saat mencari dimana titik celahnya, […]