[Hacktoday 2021] – Destiny

Pada soal itu, kita dihadapkan dengan sebuah web page yang memberikan service semacam ip lookup. Kita dapat memasukkan domain, kemudian web tersebut akan menampilkan ip dari domain tersebut.

Saya mencoba-coba untuk memasukkan command-command seperti ls, pwd, whoami, dan semacamnya. Namun, semuanya gagal dan menampilkan blank page saja.

Akhirnya saya mencoba salah satu command yang berfungsi untuk menjalankan command secara beruntun, yaitu pipe command “|”. Saya mengawali input dengan suatu domain dan melanjutkannya dengan command pipe.

Ternyata, command saya dijalankan dan saya mendapatkan informasi bahwa saya merupakan root. Saya mengetahui bahwa ternyata saya bisa menjalankan unix command pada web tersebut dan saya hanya perlu mencari keberadaan flag saja.

Namun, ternyata spasi difilter sehingga saya perlu mengganti spasi dengan $IFS. Setelah itu, saya memasukkan command berikut untuk mencari keberadaan flag dan menampilkan direktori tempat file tersebut berada.

Command grep tersebut digunakan untuk mencari sebuah file yang didalamnya memiliki string “hacktoday”.

Dengan begitu saya mendapatkan nama dari file yang memiliki string “hacktoday” dan direktori lengkap dari file tersebut. Lalu, saya dapat langsung menggunakan command cat untuk membuka file tersebut.

Voila, kita mendapatkan flag dari challenge tersebut.

Leave a Reply

Your email address will not be published. Required fields are marked *