Soal : Seseorang telah membuat fake account dari FIT KOMPETISI UKSW, mereka menyebarkan salah satu flag milik kami. Apakah anda bisa membantu kami memberikan informasi tentang mereka? Format Flag : FIT2016{[A-z]}
Flag : FIT2016{fAkebOOBs}
Referensi Tools : http://rumkin.com/tools/cipher/caesar-keyed.php
PoC (Proof of Concept):
1. Pada soal kali ini peserta diminta untuk melakukan Information Gathering terhadap akun FIT KOMPETISI UKSW, setelah mencari informasi dibeberapa social media hanya ada 1 yang sesuai dengan keywordnya, yaitu di sosmed facebook.com.
2. Salah 1 postingan yang ada pada profile tersebut ada yang menarik, bisa dilihat pada URL ataupun yang ada pada Gambar berikut:
https://www.facebook.com/photo.php?fbid=119115038483716&set=a.119115101817043.1073741827.100011556609428&type=3&theater
3. “1ojQbt5x0sEkboH4oe1hBouj” string tersebut sudah di encode menggunakan algoritma caesar encoding, untuk melakukan decode bisa gunakan http://rumkin.com/tools/cipher/caesar-keyed.php dengan Shift 1, maka akan didapatkan password untuk login ke akun tersebut 1niPas5w0rDjanG4nd1gAnti.
4. Setelah itu, cari informasi alamat email untuk dapat login ke fake account tersebut, dan didapatkan alamat email yang terdapat pada tab Tentang Tinjauan, maka akan terlihat alamat email yang terdapat pada profile tersebut “[email protected]” (Gambar).
5. Gunakan email dan Weak Password yang telah didapatkan tadi untuk login ke facebook.com Email : [email protected] & Password : 1niPas5w0rDjanG4nd1gAnti
6. Account tersebut berhasil login dan didapatkan Flag dari soal ini.
2. Salah 1 postingan yang ada pada profile tersebut ada yang menarik, bisa dilihat pada URL ataupun yang ada pada Gambar berikut:
https://www.facebook.com/photo.php?fbid=119115038483716&set=a.119115101817043.1073741827.100011556609428&type=3&theater
3. “1ojQbt5x0sEkboH4oe1hBouj” string tersebut sudah di encode menggunakan algoritma caesar encoding, untuk melakukan decode bisa gunakan http://rumkin.com/tools/cipher/caesar-keyed.php dengan Shift 1, maka akan didapatkan password untuk login ke akun tersebut 1niPas5w0rDjanG4nd1gAnti.
4. Setelah itu, cari informasi alamat email untuk dapat login ke fake account tersebut, dan didapatkan alamat email yang terdapat pada tab Tentang Tinjauan, maka akan terlihat alamat email yang terdapat pada profile tersebut “[email protected]” (Gambar).
5. Gunakan email dan Weak Password yang telah didapatkan tadi untuk login ke facebook.com Email : [email protected] & Password : 1niPas5w0rDjanG4nd1gAnti
6. Account tersebut berhasil login dan didapatkan Flag dari soal ini.
Write Up Online CTF FIT Competition UKSW 2016 Tahap Pertama - Misc [Fake Account]
Reviewed by Sitakom Blog
on
8:42 PM
Rating:
No comments: