[angstromCTF 2018] – MadLibs

General Information Title              : MadLibs URL               : http://web2.angstromctf.com:7777/ Keywords    : SSTI, Flask Field Exploration Sebuah tantangan yang baik dapat diselesaikan dengan pengenalan medan yang baik pula. Saya mulai mengerjakan tantangan ini dengan sebuah pertanyaan nalar, kenapa namanya madlibs? Pencarian awal di Google membawa saya pada sebuah kolom informasi mengenai seorang DJ asal Amerika bernama Otis… Continue reading [angstromCTF 2018] – MadLibs

[RC3 CTF 2017 ]: This is where I’d put my Home Page.. IF I HAD ONE

Soal : http://13.59.6.98:80

Ketika dibuka di penjelajah web, tidak menunjukan apa-apa. Namun ketika mengguanakan cURL untuk menginspeksi “source code” dari website tersebut.

Modifikasi url yang sekarang dengan ” http://13.59.6.98/C.html “.

Ada kejanggalan di url=3.html dan tag <p hidden> awalnya R setelah itu C, ini pasti url berantai, maka saya membuatkan sebuah script… Continue reading [RC3 CTF 2017 ]: This is where I’d put my Home Page.. IF I HAD ONE

[Takoma Park CTF 2017]: Methods

Soal : http://methods.tpctf.com/

Ketika membuka /description ada petunjuk:

Dari sini, petunjuknya sudah jelas dari judul soal, yaitu “Methods“, Dengan memasukkan input “curl method” di mesin pencari.

Di jelaskan bahwa cURL menyediakan pemanggilan beberapa “method http” yang berbeda. Berhubung sistem operasi Linux memiliki perintah “man” yaitu “manual” maka kita bisa membaca tentang cara… Continue reading [Takoma Park CTF 2017]: Methods

[TIKAD CTF 2018]: Situs Yang Bocor

Saya diberikan sebuah website dan source code sebagai berikut: Source Code : WEB: Dan dari website saya diberikan clue “There’s a flag here but it’s in the source code.. can you pull it out? PHP is quite weird about filters I hear”, nah dari clue tersebut saya dapat menyimpulkan bahwa website tersebut mempunya kelemahan dalam… Continue reading [TIKAD CTF 2018]: Situs Yang Bocor

[Ringzer0] – Client Side Auth is Secure?

Link soal: https://ringzer0team.com/challenges/27 Diberikan sebuah website yang berisi kolom username dan password. Karena soal ini bertema javascript maka untuk source code validasi dari username dan password ini. Mari kita lihat source code-nya. Bisa kita lihat di sana pada bagian: if(u == “admin” && p == String.fromCharCode(74,97,118,97,83,99,114,105,112,116,73,115,83,101,99,117,114,101)) { if(document.location.href.indexOf(“?p=”) == -1) { document.location = document.location.href + “?p=” + p;… Continue reading [Ringzer0] – Client Side Auth is Secure?

[Root.me]: Obfuscation 3

HALOH Saya gak biasa nulis writeup pake bahasa Indonesia jadi mohon maap. Tapi tugas ini harus terus berlanjut jadi mohon maklum. ___________________________________________________________________ JADI, kita ketemu dengan soal obsfucation di root.me. Link challengenya ada di bawah. Jadi, kalau kita sudah ke halaman challengenya, akan muncul permintaan password seperti ini: Yasudah saya masukkan password saya yang beneran,… Continue reading [Root.me]: Obfuscation 3

[Tikad CTF 2018] – Pintu Masuk Raja

Diberikan sebuah web dan source code (source code terdapat di https://github.com/ArkAngels/CTF-DISINFOLAHTAD/tree/Pintu-Masuk-Raja). Dalam web tersebut menggunakan sistem database MySQL. Kita diharuskan untuk register terlebih dahulu sebelum bisa login. Setelah login, maka kita dapat melihat sebagian isi dari database yang ada. Jika kita lihat dari source code, saat kita melakukan pencarian setelah login, dari kolom tersebut akan memunculkan… Continue reading [Tikad CTF 2018] – Pintu Masuk Raja