[HackTheBox – CTF] – Lernaean

Di challenge kali ini kita diberikan website dengan 1 textbox, bila kita masukan hal random diberikan response “Invalid password!”.

Dan bila kita mencoba basic SQL injection tidak memberikan hal baru apapun. Karena dibilang “do not try to guess my password”, so I thought let’s try some bruteforce.

Script ini sederhana hanya mencoba semua line yang ada dalam rockyou.txt dan send ke server websitenya. _ga, _gid, password bisa ditemukan bila kita mengintercept request sebelumnya.

Biarkan scriptnya berjalan sebentar dan kita menemukan sesuatu.

Password ditemukan “leonardo”, mari kita coba memasukan nya kedalam website tersebut.

To slow… mari kita coba intercept requestnya lagi dan liat apa yang kita temukan.

Flag : HTB{l1k3_4_b0s5_s0n}

Leave a Reply

Your email address will not be published. Required fields are marked *