writeup CTF [ctf.asgama.web.id]

Sauce [5]



kita cuman di kasih link http://ctf.asgama.web.id:40100/

setelah di buka . kita coba lihat sourcenya menggunakan ctrl+u



dan di dapatkan FLAG: GamaCTF{S0uRc3_cod3}

Secret Dir [10]

soal : http://ctf.asgama.web.id:40101/

hint : Flag ada di sebuah directory

langsung saja buka . dan seperti biasa kita lihat source code web nya .



dan di dapatkan clue kalau terdapat direktori /backup lalu kita coba buka




setelah di buka ternyata muncul flag . flag nya adalah GamaCTF{b4cKuP}



Ndasmu [15]

soal : http://ctf.asgama.web.id:40102
hint : cek header website

oke di karenakan saya menggunakan linux . jadi langsung saja gunakan tool curl dengan perintah di bawah ini untuk melihat header nya :

curl -i http://ctf.asgama.web.id:40102/

nanti akan muncul flag nya seperti ini



flag : GamaCTF{ch3ck_y0ur_head}

Kue [20]

soal : http://ctf.asgama.web.id:40103

hint : Check your cookie :)

 kue yang di maksud disini bukan kue makanan lho ya 😂 jadi jangan salah paham . kue yang di maksud adalah cookie pada browser . bisa kita lihat menggunakan inspect element atau menggunakan F12 setelah itu buka console .

lalu ketikkan perintah berikut untuk melihat cookie pada browser :

document.cookie

nah muncul cookie mu yang di enkripsi dalam base64 .

kalau kita decode dXNlcg== maka hasil nya user . nah disini kita harus mengubah cookie sebagai admin biar bisa dapetin flag nya . tinggal kita encode kata admin ke dalam base64 maka hasilnya YWRtaW4= .

setelah itu tinggal kita rubah cookie kita menggunakan perintah :

document.cookie="status=YWRtaW4%3D"

jika sudah seperti ini tinggal kita refresh browser kita .

setelah kita refresh maka muncul flag nya .



flagnya :GamaCTF{c00k13_B4h4ya}



Login 1 [25]

soal : http://ctf.asgama.web.id:40104/

hint : strcmp vulnerability

source code : https://ctf.asgama.web.id/files/d5917827895fa3579463afe121e98083/login1.php

setelah kita baca hint nya ternyata ada di vulnerable bypass strcmp . dengan cara memberi array pada inputan nya .

http://ctf.asgama.web.id:40104/?password[]=catatanhacking

tara muncul flag nya . simpel kan hehehe kali ini strcmp nya method get jadi lebih mudah . lain kali saya bahas yang method post .


flag nya adalah GamaCTF{4w4s_strCmp}


Login 2 [30]


soal : http://ctf.asgama.web.id:40105/
 
hint : otentikasi frontend sangat berbahaya gaes

seperti biasa kita intip source kode nya . 

kalau kita lihat di situ ada funsi login() kalau kita klik submit . berarti ada hubngannya sama js . dan di situ saya langsung coba cek script.js . mencurigakan sih hehehe .

view-source:http://ctf.asgama.web.id:40105/script.js


disitu kalau kita pahami kode nya . jika kita memasukkan password s3cr333t maka kita akan mendapatkan flag . dan kalau salah muncul pesan password salah . 

langsung saja kita coba masukkan password nya :




dan muncul flag : GamaCTF{js_4uth_t00_bad}


Login 3 [40]

soal : http://ctf.asgama.web.id:40106/
hint : otentikasi frontend dengan obfuscation bukanlah solusi

langkah langkah nya masih sama seperti soal sebelumnya . tapi kali ini di script dari script.js nya obfuscated sehingga sulit di baca . tapi tenang kita bisa menggunakan tool deobfuscator . langsung saja buka

https://www.dcode.fr/javascript-unobfuscator

seperti ini hasilnya .


tinggal masukkan aja password r4h4s1444 setelah itu akan muncul flagnya




Login 4 [50]


soal : http://ctf.asgama.web.id:40107/

hint : the legend of SQL Injection
source kode : https://ctf.asgama.web.id/files/d05eb90740b270cc6c80e338c48100aa/login4.php

kali ini saya gak bisa jelasin hehe , langsung saja masukkan user dan password untuk membypass sqli .

username = 'or true--
password = 'or true--

setelah itu klik submit ya . nanti muncul flag nya .


waduh gak terasa disini udah jam 00:21 sekarang . sebelum penutupan sebaiknya kita bahas satu soal lagi .

Kimi No Nawa [50]


soal : ctf.asgama.web.id:40110

ngomong ngomong judul soalnya mengingatkanku pada sesuatu hehehe . pecinta anime pasti tau nih . seperti biasa kita buka . kita intip . kita raba dan ternyata gak ada apa apa . cuman ada sauce : sauce.txt



 

setelah itu kita buka sauce.txt nya : klik disini kalau males

nah ternyata disitu terdapat vuln command injection . yang dimana kita bisa mengeksekusi shell dari form nama tersebut . 

mari kita coba masukkan perintah ls dengan cara masukkan seperti ini di form nama : 


namamu; [perintah linux]

note : kenapa kita menggunakan tanda titik koma (;) . tanda itu di gunakan untuk menjalankan dua perintah / lebih sekaligus . yaitu perintah echo dan perintah yang kita masukkan . kalau kita tidak menggunakan tanda (;) maka perintah tidak di eksekusi / eror

atau bisa buka ini : http://ctf.asgama.web.id:40110/?nama=rizky%3Bls

nah ternyata benar . kita bisa melihat file file yang ada di situ . tinggal kita lihat isi file bendera menggunakan perintah cat . seperti ini :

http://ctf.asgama.web.id:40110/?nama=rizky%3Bcat+bendera.txt


oke sekian dulu writeup gajelas dari saya . jangan lupa like dan subscribe :"v emang lu kira yutub . di lanjut pembahasan ctf nya besok malam lagi disini . jangan lupa buka lagi ya halaman ini besok malam .

0 Response to "writeup CTF [ctf.asgama.web.id]"

Posting Komentar

Berkomentarlah dengan baik dan Sopan. Merupakan suatu keindahan bisa saling berbagi ilmu dengan sesama. Tinggalkan link blog mu biar mudah saya kunjungi balik. Terimakasih

Iklan Atas Artikel

Iklan Tengah Artikel 1

Iklan Tengah Artikel 2

Iklan Bawah Artikel