Write Up CTF Hology2020: My Animal

Halo, disini saya akan membagikan Write Up saya pada CTF Hology 2020 dari Universitas Brawijaya soal MyAnimal kategory Web Exploitation.

Berikut untuk deskripsi soal dan link website yang diberikan.

Setelah saya buka website nya dapat terlihat bahwa website tersebut tentang binatang dan ketika kita buka view maka akan terlihat detail dari binatang tersebut.

Saya coba lakukan enumerasi, dan didapatkan sedikit clue pada file README.md yaitu web ini vuln terhadap LFI.

Saya coba berbagai fuzzing dari berbagai wordlist ternyata string ../ dihapus maka kita bisa menggunakan ....//, dan semua payload yang saya coba ternyata ekstensinya ditambah otomatis menjadi .php. Kemudian inputan yang yang diperbolehkan hanya bisa dog, fox, dan cat .

Setelah saya coba menggunakan salah satu hewan tersebut ternyata bisa.

Maka langsung saja kita coba ambil index.php nya memakai filter dengan payload seperti ini

http://206.189.86.177:8082/?view=php://filter/convert.base64-encode/resource=fox/....//....//....//....//....//....//var/www/html/index

Langsung saja saya decode stringnya menggunakan base64. Lalu saya pahami index.php nya.

Ternyata di situ terlihat bahwa bisa menggunakan ekstensi sendiri menggunakan method GET["ext"]. Lalu saya coba mencari Log nya dengan dengan final payload

http://206.189.86.177:8082/?view=cat/....//....//....//....//....//....//var/log/apache2/access&ext=.log

Terlihat pada log-nya terdapat GET /ini_flagnya_beneran_ga_bohongxixixi.html

Flag : hology3{3z_bYp4s5_LFI_y4_kh4n}