[Gemastik XIV 2021] – php-ng

Pada soal kali ini, kita diberikan dua url yaitu url yg berisi php code (challenge) dan juga url yang berfungsi untuk mengakses sebuah url tertentu (report-url).  Ketika kita mencoba untuk mengakses url challenge, maka kita akan dihadapkan dengan php code seperti ini. Kita bisa memasukkan input dengan menggunakan variabel “l”, “t”, “sisi”, dan juga “name”. […]

[Cyber Apocalypse CTF 2021] – Bug Report

Diberikan sebuah source code dari web dalam bahasa python. Jika kita lihat app.py, disitu kita dapat menginput url, dan url akan dipass sebagai parameter dalam function visit_report() Lalu saya coba akses file kedua, yaitu bot.py. Disitu awalnya selenium akan melakukan GET request ke 127.0.0.1:1337, dan set cookie disana dengan key flag dan valuenya flag yang […]

[Zh3r0 CTF V2] – bXSS

Diberikan sebuah web dimana kita dapat memberikan feedback ke admin. Sesuai judul soal, dugaan saya kita perlu mengexploit blind XSS. Pertama, melalui https://requestbin.com/ saya akan collect setiap HTTP request yang masuk ke endpoint yang telah dibuat, yaitu https://en8hjlfricc69ej.m.pipedream.net dan menganalisanya. Buat payload untuk mengecek current page dari victim. Payloadnya adalah sebagai berikut. Jadi payload dibawah […]

[Google XSS Game] – Level 1 – 6

Challenge dapat di akses melalui https://xss-game.appspot.com/ Level 1 Mission Description : This level demonstrates a common cause of cross-site scripting where user input is directly included in the page without proper escaping. Interact with the vulnerable application window below and find a way to make it execute JavaScript of your choosing. You can take actions inside the […]