image_pdf

[RingZer0] – Security through obscurity!

Link soal: https://ringzer0ctf.com/challenges/45/ Diberikan soal sebagai berikut Hal yang pertama kita lakukan adalah mencoba untuk mencari-cari sesuatu di inspect element Setelah beberapa waktu kita melihat-lihat, kita menemukan keanehan pada bagian cookie Pada cookie, terdapat tulisan AUTH (authentication), lalu kita pun melihat value dari AUTH tersebut Setelah kita lihat value dari AUTH “Z3Vlc3QsN2M2MjEyYzdjZmQ5YjRkYiwxNTY5ODYzOTU1LGZhbHNlOjZhYzk1ZjViNDM4Yzk3Y2I5NzcxM2NhNTM4NjJiN2I4” Kita bisa lihat […]

[Overthewire] – Natas12

Link : http://natas12.natas.labs.overthewire.org/ Username : natas12 Password : EDXp0pS26wLKHZy1rDBPUZk0RKfLGIR3 Pertama diberikan sebuah tampilan Nampaknya kita bisa melakukan upload sebuah file JPEG yang maksimum hanya berukuran 1KB Penulis langsung berpikir ini adalah challenge mendapatkan shell dengan unrestricted file upload, tetapi untuk lebih jelasnya mari kita membuka source code yang diberikan Source code yaitu

Mari kita telaah alur […]

[Petir Challenge] – babyphp

Pada soal ini diberikan sebuah web yang memberikan source codenya.   Terlihat pada soal menerima beberapa input yaitu “kunci1” dan “kunci2” dengan method GET. Soal terdiri dari beberapa pengecekan( Validasi ). Validasi pertama adalah mengecek, apakah salah satu dari syarat benar ( menggunakan OR ). apakah angka dari variable $k1 sama dengan $hoho ( 1337 […]

[Overthewire] – Natas11

Link : http://natas11.natas.labs.overthewire.org/ Username : natas11 Password : U82q5TCMMQ9xuFoI3dYX61s7OZD9JKoK Pertama kita diberikan sebuah tampilan Kelihatannya kita bisa mengubah warna background dengan memasukkan kode warna di kolom input seperti Baik mari kita langsung cek source codenya

Mari kita perhatikan bagian bagian yang mengandung code php saja, nampaknya kita bisa mendapatkan password untuk natas12 jika kita berhasil mengganti […]

[RingZer0] – PHP Fairy

Diberi sebuah login form yang hanya meminta password. Jika kita mencoba memasukkan kutip, outputnya sebagai berikut Dan jika mencoba input random stuff akan mengoutput “Wrong password”. Maka saya mencoba melihat code nya dengan mengklik button “Code please!” Kode lengkapnya sebagai berikut:

Dari source code ini kita dapat melihat berbagai hal yang menarik di: Line […]

[HackTheBox – CTF] – Freelancer

Pada challenge yang ini kita diberikan sebuah website yang terlihat tidak ada apa apa yang menarik. Tetapi scroll sedikit kebawah terlihat ada semacam “contact us” tetapi sepertinya yang ini tidak membuahkan hasil. Pada saat ini saya mencoba untuk memakai dirbuster untuk melihat directory apa yang ada dan mungkin melihat kenapa contact me ini tidak bisa […]

[Cyber Jawara 2019 Qualification] – Mysterious

Link soal: http://203.34.119.237:50000/shell.php Diberikan soal sebagai berikut: Kita mendapatkan file code sebagai berikut: Hal pertama yang kita lakukan adalah mencoba untuk membuka link soal tersebut dan kita hanya mendapatkan halaman kosong. Kemudian kita mencoba untuk mengartikan maksud dari code yang dikasih dari soal tadi. Setelah kita mencoba untuk membacanya, kita mendapati bahwa code tersebut terbagi […]

[HackTheBox – CTF] – Fuzzy

Pada soal kali ini kita diberikan website yang terlihat tidak ada apa-apa. sema fiture terlihat useless, search function yang tidak memberikan hasil apapun dan link redirect yang tidak kemana-mana. Karena semua linknya menuju /# saya berfikir bahwa terdapat file yang tersembunyi, so I pull out Dirbuster untuk mencari apapun itu yang ada didalam website ini. […]

[Overthewire] – Natas9,10

http://natas9.natas.labs.overthewire.org/ Username : natas9 Password : W0mMhUcRRnG8dcghE4qvk3JA9lGt8nDl Pertama diberikan sebuah tampilan Memasukkan sebuah kata, kita akan mendapatkan balasan berupa Sekilas terlihat seperti terjadi sebuah mekanisme search dari sebuah wordlist berdasarkan regex yang dimasukkan. Mari kita cek source codenya

Terdapat sebuah code PHP untuk melakukan grep, dan passthru dipercayakan untuk melakukan grep. Passthru akan melakukan eksekusi […]