[Petir Challenge] – babyphp

Pada soal ini diberikan sebuah web yang memberikan source codenya.   Terlihat pada soal menerima beberapa input yaitu “kunci1” dan “kunci2” dengan method GET. Soal terdiri dari beberapa pengecekan( Validasi ). Validasi pertama adalah mengecek, apakah salah satu dari syarat benar ( menggunakan OR ). apakah angka dari variable $k1 sama dengan $hoho ( 1337 […]

[Overthewire] – Natas11

Link : http://natas11.natas.labs.overthewire.org/ Username : natas11 Password : U82q5TCMMQ9xuFoI3dYX61s7OZD9JKoK Pertama kita diberikan sebuah tampilan Kelihatannya kita bisa mengubah warna background dengan memasukkan kode warna di kolom input seperti Baik mari kita langsung cek source codenya

Mari kita perhatikan bagian bagian yang mengandung code php saja, nampaknya kita bisa mendapatkan password untuk natas12 jika kita berhasil mengganti […]

[RingZer0] – PHP Fairy

Diberi sebuah login form yang hanya meminta password. Jika kita mencoba memasukkan kutip, outputnya sebagai berikut Dan jika mencoba input random stuff akan mengoutput “Wrong password”. Maka saya mencoba melihat code nya dengan mengklik button “Code please!” Kode lengkapnya sebagai berikut:

Dari source code ini kita dapat melihat berbagai hal yang menarik di: Line […]

[HackTheBox – CTF] – Freelancer

Pada challenge yang ini kita diberikan sebuah website yang terlihat tidak ada apa apa yang menarik. Tetapi scroll sedikit kebawah terlihat ada semacam “contact us” tetapi sepertinya yang ini tidak membuahkan hasil. Pada saat ini saya mencoba untuk memakai dirbuster untuk melihat directory apa yang ada dan mungkin melihat kenapa contact me ini tidak bisa […]

[Cyber Jawara 2019 Qualification] – Mysterious

Link soal: http://203.34.119.237:50000/shell.php Diberikan soal sebagai berikut: Kita mendapatkan file code sebagai berikut: Hal pertama yang kita lakukan adalah mencoba untuk membuka link soal tersebut dan kita hanya mendapatkan halaman kosong. Kemudian kita mencoba untuk mengartikan maksud dari code yang dikasih dari soal tadi. Setelah kita mencoba untuk membacanya, kita mendapati bahwa code tersebut terbagi […]

[HackTheBox – CTF] – Fuzzy

Pada soal kali ini kita diberikan website yang terlihat tidak ada apa-apa. sema fiture terlihat useless, search function yang tidak memberikan hasil apapun dan link redirect yang tidak kemana-mana. Karena semua linknya menuju /# saya berfikir bahwa terdapat file yang tersembunyi, so I pull out Dirbuster untuk mencari apapun itu yang ada didalam website ini. […]

[Overthewire] – Natas9,10

http://natas9.natas.labs.overthewire.org/ Username : natas9 Password : W0mMhUcRRnG8dcghE4qvk3JA9lGt8nDl Pertama diberikan sebuah tampilan Memasukkan sebuah kata, kita akan mendapatkan balasan berupa Sekilas terlihat seperti terjadi sebuah mekanisme search dari sebuah wordlist berdasarkan regex yang dimasukkan. Mari kita cek source codenya

Terdapat sebuah code PHP untuk melakukan grep, dan passthru dipercayakan untuk melakukan grep. Passthru akan melakukan eksekusi […]

[RingZer0] XSS Challenge 2

Diberi sebuah input box jika kita input sesuatu, dia akan memprint sesuatu itu Setelah saya meng-F12 page, tidak ada hidden input atau hal yang menarik lainnya. Jadi saya coba memasukkan html tag <img> payloadnya <img src=”” onerror=”javascript:alert(1)”> Muncul gambar invalid, setelah dicek ternyata symbol-symbol petik telah di escape dan petik-petik baru telah di tambahkan. Saya […]

[RingZer0] XSS Challenge 1

Diberi sebuah web dengan sebuah input box Setelah meng-F12 page ini, saya menemukan sebuah hidden input Maka saya coba input “asdasd” di input box, dan ternyata input tersebut muncul di element <embed> sebagai atribut “src” Saya pikir ini mirip dengan XSS melalui element <img> karena juga memasukkan payload di atribut “src”. Saya juga melihat ada […]