Gunakan password dengan bebasklik inspect, sources dan dibagian secure.js kita akan menemukan sebuah pemberitahuan terkait dengan data yang kita masukanmasukan kembali username dan passwordnya, namun passwordnya kita menggunakan ‘strongpassword098765’ Dan bum kita akan mendapatkan sebuah flag nya
Gunakan burpsuite dan salin link url nya Inspect HTMLLalu masukan data dan juga otp nya dengan bebasPindahkan ke repeter lalu hapus otp nya dan send kembali
Dibagian tampilan ada keterangan home, about, dan juga contactKita klik home, klik inspect, lalu klik di bagian source maka kita akan menemukan sebuah token Lalu kita salin token tersebut dan paste di https://www.base64decode.org/ lalu klik decode Ciri-ciri Base64 String:Panjang: String Base64 biasanya lebih panjang daripada teks biasa, karena encoding-nya menambah Read more…
SSTISSTI (Server-Side Template Injection) adalah kerentanan keamanan yang terjadi ketika input pengguna disisipkan langsung ke dalam sistem template server tanpa validasi yang tepat. Ini memungkinkan penyerang untuk menyuntikkan kode berbahaya yang dieksekusi di sisi server.Masukkan payload sederhana untuk melihat apakah server menggunakan template engine yang rentan dengan perintah :{{7*7}} atau Read more…
Sebelum mengupload file nya kita buat terlebih dahulu skrip php sebagai web shell nya. skrip : Setelah diupload maka keterangan awalnya adalah : Dibagian URL tambahkan playload berupa “⦁ http://[alamat-situs]/uploads/shell.php?cmd=whoami” dan output yang didapatkan adalah “www-data” maka kita dapat menjalankan perintah dengan sudo tanpa kata sandi (NOPASSWD: ALL), dan juga Read more…
dibagian situs web kita akan mendapatkan sebuah skrip, skrip tersebut kita copy dan paste dibagian console.jika ketika sudah dipaste ada keterangan seperti : gunakan perintah “allow pasting” setelah itu paste skripnya dan tekan enter maka flag akan didapatkan di pop-up alert
Dibagian source terdapat sebuah skrip, saling skrip tersebut. lalu setelah itu kita gunakan kode “picoCTF” untuk memasukkan inputannya didapat dari heading atau skrip yang telah kita salin. setelah itu klik submit dan flag ditemukan dibagian pop-up alert
Dibagain username dan password gunakan :username : adminpassword : ‘ or 4=4 — (merupakan sintak sql yaitu aturan penulisan atau tata cara menggunakan perintah-perintah dalam bahasa SQL untuk mengelola dan mengakses database)setelah itu enter dan flag akan ditemukan
Buka kalilinux dan copy paste link yag diberikan oleh pico ke kalilinuxketerangan yang di dapatkan adalah pico=#. maka dari itu kita tampilkan dulu semua tabel yang ada di database pico, dengan menggunakan perintah “\dt”.setelah itu muncul sebuah tabel yang dimana terdapat sebuah kata flags, kita lihat isi dari tabel flags Read more…