writeup CTF [ctf.asgama.web.id]

Selasa, 04 Desember 2018 Tambah Komentar Edit

Sauce [5]



kita cuman di kasih link http://ctf.asgama.web.id:40100/

setelah di buka . kita coba lihat sourcenya menggunakan ctrl+u



dan di dapatkan FLAG: GamaCTF{S0uRc3_cod3}

Secret Dir [10]

soal : http://ctf.asgama.web.id:40101/

hint : Flag ada di sebuah directory

langsung saja buka . dan seperti biasa kita lihat source code web nya .



dan di dapatkan clue kalau terdapat direktori /backup lalu kita coba buka




setelah di buka ternyata muncul flag . flag nya adalah GamaCTF{b4cKuP}



Ndasmu [15]

soal : http://ctf.asgama.web.id:40102
hint : cek header website

oke di karenakan saya menggunakan linux . jadi langsung saja gunakan tool curl dengan perintah di bawah ini untuk melihat header nya :

curl -i http://ctf.asgama.web.id:40102/

nanti akan muncul flag nya seperti ini



flag : GamaCTF{ch3ck_y0ur_head}

Kue [20]

soal : http://ctf.asgama.web.id:40103

hint : Check your cookie :)

 kue yang di maksud disini bukan kue makanan lho ya 😂 jadi jangan salah paham . kue yang di maksud adalah cookie pada browser . bisa kita lihat menggunakan inspect element atau menggunakan F12 setelah itu buka console .

lalu ketikkan perintah berikut untuk melihat cookie pada browser :

document.cookie

nah muncul cookie mu yang di enkripsi dalam base64 .

kalau kita decode dXNlcg== maka hasil nya user . nah disini kita harus mengubah cookie sebagai admin biar bisa dapetin flag nya . tinggal kita encode kata admin ke dalam base64 maka hasilnya YWRtaW4= .

setelah itu tinggal kita rubah cookie kita menggunakan perintah :

document.cookie="status=YWRtaW4%3D"

jika sudah seperti ini tinggal kita refresh browser kita .

setelah kita refresh maka muncul flag nya .



flagnya :GamaCTF{c00k13_B4h4ya}



Login 1 [25]

soal : http://ctf.asgama.web.id:40104/

hint : strcmp vulnerability

source code : https://ctf.asgama.web.id/files/d5917827895fa3579463afe121e98083/login1.php

setelah kita baca hint nya ternyata ada di vulnerable bypass strcmp . dengan cara memberi array pada inputan nya .

http://ctf.asgama.web.id:40104/?password[]=catatanhacking

tara muncul flag nya . simpel kan hehehe kali ini strcmp nya method get jadi lebih mudah . lain kali saya bahas yang method post .


flag nya adalah GamaCTF{4w4s_strCmp}


Login 2 [30]


soal : http://ctf.asgama.web.id:40105/
 
hint : otentikasi frontend sangat berbahaya gaes

seperti biasa kita intip source kode nya . 

kalau kita lihat di situ ada funsi login() kalau kita klik submit . berarti ada hubngannya sama js . dan di situ saya langsung coba cek script.js . mencurigakan sih hehehe .

view-source:http://ctf.asgama.web.id:40105/script.js

 

disitu kalau kita pahami kode nya . jika kita memasukkan password s3cr333t maka kita akan mendapatkan flag . dan kalau salah muncul pesan password salah . 

langsung saja kita coba masukkan password nya :


dan muncul flag : GamaCTF{js_4uth_t00_bad}


Login 3 [40]

soal : http://ctf.asgama.web.id:40106/
hint : otentikasi frontend dengan obfuscation bukanlah solusi

langkah langkah nya masih sama seperti soal sebelumnya . tapi kali ini di script dari script.js nya obfuscated sehingga sulit di baca . tapi tenang kita bisa menggunakan tool deobfuscator . langsung saja buka

https://www.dcode.fr/javascript-unobfuscator

seperti ini hasilnya .


tinggal masukkan aja password r4h4s1444 setelah itu akan muncul flagnya




Login 4 [50]


soal : http://ctf.asgama.web.id:40107/

hint : the legend of SQL Injection
source kode : https://ctf.asgama.web.id/files/d05eb90740b270cc6c80e338c48100aa/login4.php

kali ini saya gak bisa jelasin hehe , langsung saja masukkan user dan password untuk membypass sqli .

username = 'or true--
password = 'or true--

setelah itu klik submit ya . nanti muncul flag nya .


waduh gak terasa disini udah jam 00:21 sekarang . sebelum penutupan sebaiknya kita bahas satu soal lagi .

Kimi No Nawa [50]


soal : ctf.asgama.web.id:40110

ngomong ngomong judul soalnya mengingatkanku pada sesuatu hehehe . pecinta anime pasti tau nih . seperti biasa kita buka . kita intip . kita raba dan ternyata gak ada apa apa . cuman ada sauce : sauce.txt



 

setelah itu kita buka sauce.txt nya : klik disini kalau males
nah ternyata disitu terdapat vuln command injection . yang dimana kita bisa mengeksekusi shell dari form nama tersebut . 

 mari kita coba masukkan perintah ls dengan cara masukkan seperti ini di form nama : 

namamu; [perintah linux]

note : kenapa kita menggunakan tanda titik koma (;) . tanda itu di gunakan untuk menjalankan dua perintah / lebih sekaligus . yaitu perintah echo dan perintah yang kita masukkan . kalau kita tidak menggunakan tanda (;) maka perintah tidak di eksekusi / eror

 atau bisa buka ini : http://ctf.asgama.web.id:40110/?nama=rizky%3Bls
nah ternyata benar . kita bisa melihat file file yang ada di situ . tinggal kita lihat isi file bendera menggunakan perintah cat . seperti ini :

 http://ctf.asgama.web.id:40110/?nama=rizky%3Bcat+bendera.txt

oke sekian dulu writeup gajelas dari saya . jangan lupa like dan subscribe :"v emang lu kira yutub . di lanjut pembahasan ctf nya besok malam lagi disini . jangan lupa buka lagi ya halaman ini besok malam .

Belum ada Komentar untuk "writeup CTF [ctf.asgama.web.id]"

Posting Komentar

Berkomentarlah dengan baik dan Sopan. Merupakan suatu keindahan bisa saling berbagi ilmu dengan sesama. Tinggalkan link blog mu biar mudah saya kunjungi balik. Terimakasih

Langganan: Posting Komentar (Atom)

Iklan Atas Artikel

Iklan Tengah Artikel 1

Iklan Tengah Artikel 2

Iklan Bawah Artikel