Write Up Online CTF FIT Competition UKSW 2016 Tahap Pertama - Web [JS] |
Soal : http://198.50.174.111/soal/web1/ Format Flag : FIT2016{[A-z]}
Flag : FIT2016{JSON_ex4mpl3}
Referensi Tools :
PoC (Proof of Concept):
1. Peserta diberikan soal web tentang request menggunakan JSON. Pada halaman depan peserta diminta untuk memasukkan inputan yang valid dalam format JSON untuk dapat mendapatkan flag, jika format tidak sesuai maka akan muncul Pesan “Not JSON Format”.
2. Untuk mendapatkan inputan yang valid, kita perlu mencari tau parameter apa saja yang dibutuhkan untuk mendapatkan flag, disini kami mencoba mencari clue dengan view-source page tersebut, dan didapatkan baris yang menarik berupa string base64 “aHR0cDovLzE5OC41MC4xNzQuMTExL3NvYWwvd2ViMS9qc29uLnR4dA==” jika di decode maka akan menghasilkan output berupa URL “http://198.50.174.111/soal/web1/json.txt” isinya dapat dilihat seperti Gambar dibawah.
3. Karena inputan hanya menerima format JSON, dan format yang ada pada Gambar di atas masih dalam bentuk format XML maka kita ubah dulu formatnya menjadi JSON dengan menggunakan tools converter yang sudah tertera di Referensi Tools, maka jika format nya diubah menjadi JSON akan menjadi seperti Gambar berikut.
4. Paste ke form untuk melakukan request, lalu klik SEND, maka akan didapatkan flag untuk soal ini.
Write Up Online CTF FIT Competition UKSW 2016 Tahap Pertama - Web [JS]
Reviewed by Sitakom Blog
on
11:34 AM
Rating:
No comments: