Advertisement


Writeup CTF FIT Competition UKSW 2016 – Private (Web)

Pembahasan CTF FIT Competition UKSW 2016 tahap pertama – Private

Soal : http://198.50.174.111/connect.php
Format flag : FIT2016{A-Z}
Referensi tool : Inspect element
Flag : FIT2016{c0ngr4tz_y0u_h45_be3n_C0n3ct3d}

Writeups!
Pada tahap ini kita diberikan soal kategori web. Kita ditugaskan mencari flag yang ada di web tersebut, dimana web itu ternyata terdapat vuln Command injection, yang artinya kita bisa menginputkan perintah didalamnya.

Klik kanan pada browser sobat, pilih inspect element. Cari value type=”hidden”, kemudian ubah menjadi type=””

Maka akan muncul sebuah form.
Silahkan masukkan perintah ls, fungsi perintah ini adalah untuk melihat apakah terdapat direktori ataupun file didalamnya

Hasilnya, kita mendapatkan clue berupa list file

Langkah selanjutnya, munculkan kembali form dengan mengubah clue type=”hidden” menjadi type=”” melalui inpect element seperti langkah sebelumnya.
Kemudian ketik perintah cat passwd

Dan didapat flag nya FIT2016{c0ngr4tz_y0u_h45_be3n_C0n3ct3d}😆