Write Up Online CTF FIT Competition UKSW 2016 Tahap Pertama - Web [Private] |
Soal : http://198.50.174.111/connect.php Format Flag : FIT2016{[A-z]}
Flag : FIT2016{c0ngr4tz_y0u_h45_be3n_C0n3ct3d}
Referensi Tools : Inspect Element
PoC (Proof of Concept):
1. Pada tahap ini peserta diberikan file soal web, yang mana pada soal ini peserta ditugaskan untuk mengambil flag yang ada di web tersebut. Nama Celah ini adalah Command Injection, dimana seorang attacker dapat menjalankan beberapa command.
2. Ada 1 line yang menarik disini, ada form type yang di hidden, Edit value menggunakan Inspect Element pada type="hidden” menjadi type="" sehingga form yang ada pada web tersebut muncul, kami masih belum tau awalnya command apa saja yang bisa dijalankan, help dan ? yang biasa digunakan untuk melihat command apa saja yang bisa digunakan, tidak ada juga. Kami coba untuk menginputkan command ls.
3. Hasilnya kami mendapatkan informasi yang menarik, yaitu beberapa list file. Dan yang paling menarik disini adalah file passwd.
4. Tampilkan lagi form submit ny untuk membaca file tersebut dengan command cat passwd. Dan didapatkan Flag nya.
3. Hasilnya kami mendapatkan informasi yang menarik, yaitu beberapa list file. Dan yang paling menarik disini adalah file passwd.
4. Tampilkan lagi form submit ny untuk membaca file tersebut dengan command cat passwd. Dan didapatkan Flag nya.
Write Up Online CTF FIT Competition UKSW 2016 Tahap Pertama - Web [Private]
Reviewed by Sitakom Blog
on
11:25 AM
Rating:
No comments: