Open in app

Sign in

Write

Sign in

Capture the Flag Test Report

Reffy Dian Pratama
3 min readJun 12, 2024

--

Photo by Joan Gamell on Unsplash

Persiapan

Sebelum memulai pengerjaan, persiapkan beberapa tools untuk mengerjakan tes agar lebih mudah dalam mengerjakan. Tools yang dibutuhkan antara lain:

  • ZAP (Zed Attack Proxy)
  • Terminal
  • Firefox

Pada kasus kali ini ZAP (Zed Attack Proxy) digunakan untuk melakukan scanning terhadap website, hal ini dilakukan untuk melihat direktori yang sengaja disembunyikan dalam website.

Langkah Pengerjaan

Login

Setelah diberikan alamat IP, hal pertama yang harus dilakukan adalah melihat celah pada script yang ditulis pada halaman. Cara pertama adalah dengan melakukan Inspect dan melihat isinya. Pada kasus ini, terdapat penulisan yang menunjukkan Username dan Password pada script JS.

Inspect pada halaman login

Setelah mengetahui Username dan Password, dilakukan percobaan login ke web dengan memasukkan ‘sulhaedir’ pada Username dan ‘password123’ pada Password.

Halaman profile

Goals

Setelah berhasil login, dilakukan scanning pada website menggunakan ZAP untuk menemukan celah/direktori tersembunyi pada website.

Masukkan URL website pada kolom URL to attack, dan lakukan Attack.

Tampilan Automated Scan pada aplikasi ZAP

Setelah itu lakukan Force Browse Directory untuk menemukan file yang disembunyikan.

Forced Browse Directory pada ZAP

Berikut adalah hasil dari Force Browse Directory.

Hasil Force Browse

Lakukan scanning manual terhadap file mencurigakan pada hasil scanning, dan ditemukan http://103.186.0.103/adi/database/lol.txt, kemudian membuka URL tersebut yang berisi:

Isi dari http://103.186.0.103/adi/database/lol.txt

Lakukan analisis terhadap kode, dan ditemukan kode merupakan encoding dengan Base64. Lakukan decoding Base64 menggunakan Terminal.

Decoding base64 dengan menggunakan Terminal

Hasil decoding menunjukan sebuah URL, kemudian dilakukan percobaan untuk membuka URL tersebut dan menghasilkan, seperti berikut.

Goals yang dicari

Kesimpulan

Persiapan melibatkan penggunaan tools seperti ZAP (Zed Attack Proxy) dan Terminal. Proses dimulai dengan login menggunakan kredensial yang ditemukan dalam script JS. Setelah berhasil login, dilakukan scanning menggunakan ZAP untuk menemukan direktori tersembunyi. Selanjutnya, teknik Force Browse Directory digunakan untuk menemukan file mencurigakan yang berisi kode terenkripsi Base64. Setelah decoding, ditemukan URL yang mengarahkan pada informasi lebih lanjut. Hasilnya, celah keamanan berhasil diidentifikasi dan dianalisis dengan efektif.

Cybersecurity
Ctf

--

--

Reffy Dian Pratama

Written by Reffy Dian Pratama

2 Followers

An entry-level programmer who loves to draw and design. Passionate about combining technical skills with creativity to create innovative solutions.

Help

Status

About

Careers

Press

Blog

Privacy

Terms

Text to speech

Teams