image_pdf

[HackTheBox – CTF] – ezpz

Diberikan website yang langsung memunculkan error. Error pertama dibilang “obj” tidak ada, jadi sepertinya kita perlu memprovide dengan menggunakan variable “obj”, memasukan obj dengan method get bisa dilihat error pertama hilang. Untuk error kedua harus ada sedikit bacaan, dibilang terdapat non-object ‘ID’ sepertinya kita perlu memprovide “ID” juga tetapi berbeda dengan “obj”. Membaca sedikit tentang […]

[Root-Me] – SQL injection – String

Challenge Description: Diberikan sebuah web service dengan beberapa fitur ( Home, Search, Login ) Dari judul soal kita sudah dapat mengetahui ini adalah soal sql injection, salah satu celah yang dapat digunakan adalah user input. Pada web service tersebut ada 2 user input pada page search dan login. Setelah beberapa saat mencari dimana titik celahnya, […]

[Compfest11 Qualification] – Pemetaan Perguruan Tinggi

Challenge Description: Diberikan sebuah link yang bercerita tentang list pemetaan perguruan tinggi. Setelah link dibuka, terdapat banyak sekali form-form dan tampilan-tampilan yang bisa digunakan. Pertama-tama saya check requests setiap page yang ada, sampai saya menemukan satu endpoint. Ditemukan endpoint/api sebagai berikut: LINK : http://104.250.105.109:19008/includes/deltxhasil.php?urut=ptn%2Cprodi%2Crank5s%2Cran k5sun&tahapan=5 Setelah saya telusuri saya menemukan kelemahan SQLInjection pada parameter “urut” LINK: http://104.250.105.109:19008/includes/deltxhasil.php?urut=p’,rank5sun,nis&tahapan=5 […]

[Ringzer0] – What’s the Definition of NULL?

HARI INI KITA BELAJAR SQLi(te)! Soal yang ini agak lucu sih soalnya paradox gitu dan mengerti kenapa harus dijadikan paradox kayak gitu agak sulit. But we’ll get there in the process. Let’s start. Jadi kita dapet soal seperti ini pas dibuka: Nah, yang menarik adalah id=MQ== di urlnya (karena saya selalu ketriggered kalo ngeliat soal […]

[Ringzer0]: Login Portal 1

LINK SOAL: https://ringzer0team.com/challenges/3   Saya diberikan sebuah website login portal sebagai berikut Dengan basic cheat sheet sql injection basic yaitu (‘or’1=1 )saya mencoba login menggunakan payload tersebut, dan menghasilkan error sebagai berikut Dan ternyata ada character yang di block oleh system, setelah saya telusuri saya menemukan character yang di block yaitu (=), setelah itu saya mencoba […]

[Tikad CTF 2018] – Pintu Masuk Raja

Diberikan sebuah web dan source code (source code terdapat di https://github.com/ArkAngels/CTF-DISINFOLAHTAD/tree/Pintu-Masuk-Raja). Dalam web tersebut menggunakan sistem database MySQL. Kita diharuskan untuk register terlebih dahulu sebelum bisa login. Setelah login, maka kita dapat melihat sebagian isi dari database yang ada. Jika kita lihat dari source code, saat kita melakukan pencarian setelah login, dari kolom tersebut akan memunculkan […]