Open in app

Sign in

Write

Sign in

🚩 EZ-CTF 2022 | Writeup

Muhamad Agil Fachrian
4 min readMay 8, 2022

--

Halo readers!

Saya kembali lagi menulis Writeup pada EZ-CTF ini. Tidak banyak challenge yang bisa saya selesaiin karena kekurangan waktu dan masih suasana Idul Fitri jadi masih pergi-pergian, oleh karena itu saya akan share writeup yang saya temukan pada Event ini. Lets go!

Forensics

DigitalOcean

Diberikan sebuah link menuju slide yang melakukan promosi dan flag terdapat pada slidenya dengan sepotong-sepotong

Flag : EZ-CTF{TH1S_1S_FR33}

Web

Super Secure

Sebuah website yang terdapat Login Panel dan kita bisa lakukan SQLi sederhana seperti admin’ OR ‘1’=’1 dan akan mendapatkan flagnya

I made a blog!

Terdapat sebuah blog yang dimana terdapat beberapa post dan ada beberapa yang menarik dari URL nya dan kita bisa lakukan LFI disana tetapi jika dilihat pada hint

terdapat sebuah directory robots.txt dan jika kita akses akan terlihat /flag dan terdapat clue lagi mengenai Filter (PHP Filter). Jadi kita bisa gunakan script dibawah untuk melakukan filter di post yang dibuat

php://filter/convert.base64-encode/resource=flag.php

Maaf tidak bisa akses webnya kembali buat nunjukkin karena writeup ini dibuat H+1 😢
Dan ada 2 challenges lagi tetapi ada yang merusaknya jadi diberikan secara percuma di Discord Channelnya

Osint

American

Pada challenge ini kita disuruh mencari Find the Gallery, find Mr. Gud, find the cow. dan terdapat sebuah gambar lukisan seorang american native dan jika kita lakukan exiftool maka kita akan melihat koordinat yang dimana orang tersebut melakukan capture picture nya

Dan kita coba cari koordinatnya menggunakan itilog dan menemukan El Centro

lalu yang kita cari yaitu galery nya yaitu di The Signature Gallery setelah itu kita cari Mr Gud dan gambar sapi nya

Flag : EZ-CTF{Trent_Gudmundsen_Young_Holstein}

Crypto

OMG

Diberikan sebuah file yang isinya OMG

Jika kita buka di vscode maka akan terbentuk isi dari suatu flag

Flag : EZ-CTF{1_HAT3_TH15_FL4G}

Pwn

Mario bros!

Diberikan akses seperti berikut nc 159.223.209.120 7777

Dan kita tidak bisa akses tetapi diberi hint yaitu Mario’s favorite shortcut! untuk menjawab hint tersebut adalah sebuah pipe ijo jadi untuk solve challenge ini kita gunakan | atau juga bisa ; dan & untuk menjalankan command berikutnya

Flag : EZ-CTF{UNSECUR3_B4SH}

Steganography

Bernie

Jika kita gunakan stegano tools online seperti https://futureboy.us/stegano/decinput.html dan input fotonya untuk di decode terdapat hal yang menarik

\28x\32x\38x\28x\32x\38x\28x\32x\38x\28x\32x\38xE\28x\32x\38x\28x\32x\38xZ\28x\32x\38x-\28x\32x\38xC\28x\32x\38x\28x\32x\38xT\28x\32x\38xF\28x\32x\38x{N\28x\32x\38xO\28x\32x\38xW\28x\32x\38x_\28x\32x\38x\28x\32x\38xY\28x\32x\38x\28x\32x\38xO\28x\32x\38xU_\28x\32x\38xS\28x\32x\38x\28x\32x\38x\28x\32x\38x\28x\32x\38xE\28x\32x\38x\28x\32x\38xE\28x\32x\38x_\28x\32x\38xM\28x\32x\38xE\28x\32x\38x\28x\32x\38x_\28x\32x\38xN\28x\32x\38xI\28x\32x\38x\28x\32x\38xC\28x\32x\38xE\28x\32x\38x}\28x\32x\38x\28x\32x\38x\28x\32x\38x\28x\32x\38x\28x\32x\38x\28x\32x\38x

Jika di perhatikan seksama terdapat beberapa potongan huruf untuk flagnya

Flag : EZ-CTF{NOW_YOU_SEE_ME_NICE}

Nobody’s perfect

Untuk ini kita bisa gunakan tool online lagi https://stylesuxx.github.io/steganography/ kenapa? karena hint nya merujuk kesuatu tools online lagi dan jika kita lakukan decode terdapat flag pada hidden messagenya

Misc

Discord Bot Workaround

Pada challenge ini EZ-CTF menyediakan Bot (Cafe Bot) khusus yang memiliki command ?flag tetapi jika ingin mengakses nya kita harus menjadi admin

Jika kita lihat hint nya, kita harus menginvite bot tersebut ke suatu server yang kita menjadi adminnya. Good resource untuk challenge ini

discord.js Guide

After you set up a bot application, you'll notice that it's not in any servers yet. So how does that work? Before…

discordjs.guide

Dan kita bisa invite bot dengan link tersebut ke server yang kita menjadi adminnya dan lakukan command ?flag disana

https://discord.com/oauth2/authorize?client_id=971520199515836456&permissions=0&scope=bot%20applications.commands

Wavie Wave

Diberikan sebuah suara kicauan burung dan tiba-tiba menjadi aneh. Kita bisa gunakan SonicVisualiser untuk melihat wave nya

Tidak ada yang menarik dengan wavenya, dan setelah melihat hint nya

Yang dimana Especto itu artinya Spectrum maka kita bisa gunakan fitur Spectogram pada bagian tab Pane di SonicVisualisernya

All right readers,

Sudah di penghujung bacaan dan disini saya merasa kurang dengan writeup kali ini karena cuman bisa solve beberapa challenge karena kehabisan waktu dan saya juga ingin menulis writeup lagi tetapi cuman event ini doang yang bisa saya sempetin masuk medium 😅

Oke sampai berjumpa lagi di bacaan berikutnya dan saya juga minta maaf jika terdapat kata-kata yang kurang mengenakan.

Terimakasih sudah membaca 😃

--

--

Muhamad Agil Fachrian

Written by Muhamad Agil Fachrian

0 Followers

Ordinary People who interesting with Cybersecurity and do some CTF

Help

Status

About

Careers

Press

Blog

Privacy

Terms

Text to speech

Teams