[Digital Overdose 2021] – git commit -m “whatever”

Diberikan sebuah website static yang hanya menampilkan sebuah text dengan format base64 yang selalu berubah setiap kali di refresh.

Diminta untuk melihat source codenya, dari judul sudah cukup jelas “git”. Dari sana saya mencoba untuk mengakses /.git tetapi error 403 Forbidden, lalu saya mencoba untuk mengakses /.git/config dan ternyata 200 Success. Maka dari itu saya mencoba dump .gitnya menggunakan GitTools.

Setelah itu, mari kita lihat git commit historynya di /.git/refs/heads/master

Nah, disana ada hash dari tree yang bisa kita lihat file/folder apa yang telah di commit

Ini adalah file yang berada di dalam tree tersebut. Untuk itu kita bisa melihat source codenya di index.php

Jika dilihat, disini ada sebuah class crypto yang memiliki 2 function yaitu encrypt dan decrypt. Function encrypt bekerja untuk enkripsi sebuah text dengan SODIUM_CRYPTO_SECRET_BOX dengan random nonce serta private key lalu di encode dengan base64. Untungnya private key sudah disediakan, jadi kita tinggal memasukkan text yang ada di website tadi lalu panggil fungsi decrypt untuk mendapatkan flagnya.

Flag: DO{y0u_d1D_1t_19080128123&91823182)}

Leave a Reply

Your email address will not be published. Required fields are marked *