[HacktivityCon 2021] – Titanic

Berikut adalah tampilan awal dari web :

Ada 2 endpoint yang menarik, yang pertama admin.php. Disini saya berusaha untuk menggunakan SQL Injection untuk bypass autentikasi, tapi gagal :

URL kedua adalah /urlcapture.php. Disini sepertinya kita bisa memasukkan URL sebagai input :

Pertama, saya setup requestbin dan mendapat endpoint https://eniz8min8m2ofty.m.pipedream.net :

Masukkan URL requestbin dan request berhasil masuk. Dalam mengcapture URL, server menggunakan tool bernama cutycapt :

Saya mengira bahwa kita perlu mengambil cookie dari admin. Setelah melakukan analisa terhadap karakter-karakter yang diblacklist, akhirnya saya berhasil menemukan payload yang pas, yaitu :

Akan tetapi, cookie yang berhasil tercapture isinya kosong :

Setelah stuck beberapa lama, di discord channel JohnHammond bilang dia sudah menyertakan sebuah hint :

Saya coba view source admin.php, dan terdapat Breadcrumbs seperti berikut:

Saya coba view-source index.html, ternyata ada sebuah endpoint yang dicomment, yaitu /server-status :

Coba akses, dan ternyata forbidden :

Oleh karena itu, saya coba capture melalui /urlcapture.php dengan menyertakan http://challenge.ctf.games:30448/server-status, http://localhost:30448/server-status, dan http://127.0.0.1:30448/server-status, tapi hasilnya selalu kosong. Akhirnya saya coba, siapa tau ada di port 80, dengan URL : http://localhost/server-status, dan ternyata berhasil. Disitu terdapat username dan password milik root :

Saya langsung login dengan credential root:EYNDR4NhadwX9rtef. Lalu saya berhasil mendapatkan flag:

Flag : flag{88269d5ef52a5ee961ea6449e1b610a9}

Leave a Reply

Your email address will not be published. Required fields are marked *