Pembahasan CTF FIT Competition UKSW 2016 tahap pertama - Private
Soal : http://198.50.174.111/connect.php
Format flag : FIT2016{A-Z}
Referensi tool : Inspect element
Flag : FIT2016{c0ngr4tz_y0u_h45_be3n_C0n3ct3d}
Writeups!
Pada tahap ini kita diberikan soal kategori web. Kita ditugaskan mencari flag yang ada di web tersebut, dimana web itu ternyata terdapat vuln Command injection, yang artinya kita bisa menginputkan perintah didalamnya.
Klik kanan pada browser sobat, pilih inspect element. Cari value type="hidden", kemudian ubah menjadi type=""
Maka akan muncul sebuah form.
Silahkan masukkan perintah ls, fungsi perintah ini adalah untuk melihat apakah terdapat direktori ataupun file didalamnya
Hasilnya, kita mendapatkan clue berupa list file
Langkah selanjutnya, munculkan kembali form dengan mengubah clue type="hidden" menjadi type="" melalui inpect element seperti langkah sebelumnya.
Kemudian ketik perintah cat passwd
Dan didapat flag nya FIT2016{c0ngr4tz_y0u_h45_be3n_C0n3ct3d}??