Writeup CTF Born to Protect : Image Uploader v3  – Diberikan sebuah web yang dapat mengupload gambar.

Setelah saya analisa, web uploader dapat mengupload file zip yang extensinya diubah ke png.

Pada halaman utama, juga terdapat bug Local File Inclusion(LFI).

Karena terdapat 2 bug tersebut, maka dapat mengupload backdoor dengan memanfaatkan 2 bug tersebut.

Lalu saya mengupload file backdoor yang sudah saya compress ke zip.

Setelah terupload maka untuk membuka backdoor tersebut dengan link berikut

http://35.187.236.126:8007/?op=zip://uploads/2ea154a0e891ca28560a495b8892aa4d79cb5321.png%23upload

Local File Inclusion

Kemudian saya mengupload file backdoor utama.

Setelah backdoor utama terupload, lalu saya cari flag yang terdapat di /home/ctf/flag

Flag Image Uploader v3

Flag : B2P{7049086ed24ffb32db6fbc2f23b75a45}

Posted by Luqman Hakim

I am Luqman Hakim, founder of this blog. I am Software Engineer and IT Security Enthusiast from Indonesia. I spend most of my time in doing programming and playing CTF (Capture the Flag)

All Posts Website

Leave a Reply

This site uses Akismet to reduce spam. Learn how your comment data is processed.