Write Up Online CTF HUT DISINFOLAHTAD KE 42 2018 {Web Application - PHP yang Bertabrakan}

Write Up Online CTF HUT DISINFOLAHTAD KE 42 2018 {Web Application - PHP yang Bertabrakan}

Soal : Anda terhubung dengan lorong waktu dan menemukan situs ini Link. Sayangnya, browser anda terlalu rongsok untuk membukanya. Pertama, situs ini hanya dapat dibuka dengan menggunakan browser Chrome 100. Kedua, sepertinya ada token yang harus Anda miliki agar anda dapat mengaksesnya.

Flag : flag{ju5t_5ome_r4ndom_php_th1ngs}

Referensi Tools : 
  • Manual Test

PoC (Proof of Concept): 

1.   Bagaimana cara saya membuat dua benda sama satu lain tanpa harus benar-benar menjadi sama ke sesamanya?

<?php
    if (isset($_GET['guess'])){
        if ($_GET['guess'] === "0e1234") {
            echo('<h3> NOOOOOO ANYYYTHING BUT THAAAAAT </h3>');
        } else if ($_GET['guess'] == "0e1234") {
            echo(file_get_contents("flag.txt"));
        } else {
            echo("<h3> Thats not what I'm thinking </h3>");
        }
    }
?>

2.   Flag terdapat pada baris kode :
else if ($_GET['guess'] == "0e1234") {
            echo(file_get_contents("flag.txt"));
        }

3.   Bug dari challenge ini Weak Password atau PHP Collisions, untuk PoC PHP Collisions bisa dilihat pada URL berikut : 
4.   Untuk Bug Weak Password, kita perlu mengisi variabel guess yang ada pada source code, pada method get dengan value 0E1234.

5.    Setelah klik button “Submit” maka flag akan tampil.

Write Up Online CTF HUT DISINFOLAHTAD KE 42 2018 {Web Application - PHP yang Bertabrakan} Write Up Online CTF HUT DISINFOLAHTAD KE 42 2018 {Web Application - PHP yang Bertabrakan} Reviewed by Sitakom Blog on 7:58 PM Rating: 5

No comments: