[HackTheBox – CTF] – Fuzzy

Pada soal kali ini kita diberikan website yang terlihat tidak ada apa-apa. sema fiture terlihat useless, search function yang tidak memberikan hasil apapun dan link redirect yang tidak kemana-mana.

Karena semua linknya menuju /# saya berfikir bahwa terdapat file yang tersembunyi, so I pull out Dirbuster untuk mencari apapun itu yang ada didalam website ini.

Dari ini saya menemukan file /api/action.php, mari kita coba buka.

“Parameter not set” ini sepertinya memberi tahu kita bahwa ada parameter tersembunyi disini. So let’s try to find that, kita bisa menggunakan wfuzz untuk membrute parameter website dan juga value nya. Mari kita coba dulu parameternya.

Wfuzz sendiri itu apa sih? Wfuzz itu sebuah tools dengan konsep sederhana, yang menganti value yang kita inginkan dengan kata FUZZ. Wfuzz ini dapat membantu attacker untuk menidentifikasi celah-celah kelemahan sebuah website. Wfuzz digunakan dengan melakukan HTTP request untuk mengecheck keberadaan parameter, authentication, directory/files, dsb

Wfuzz documentation : https://wfuzz.readthedocs.io/en/latest/

Wfuzz github : https://github.com/xmendez/wfuzz

 

1 Parameter yang menampilkan sesuatu yang baru ditemukan “reset”. Coba kita lihat dulu websitenya.

Sekarang kita membutuhkan Account id, let’s fired up wfuzz once again and see what it give us.

“20” found, let’s see what’s that all about.

Flag : HTB{h0t_fuzz3r}

Leave a Reply

Your email address will not be published. Required fields are marked *