An Ordinary

  1. soal 2. pembahasan heyo aku balik lagi setelah pusing mikir pkm tp ternyata gajadi ngumpul propo pkm :" oke ini tuh algoritmanya enak, kita nge-mod masing-masing angka dengan 37, lalu bikin list alfabet dan numerik dari 0-37 sesuai ketentuan, ketemulah flagnya. tapi itu manual (meski nge-mod nya bisa bikin program). akan tetapi kali ini sekalian ngasah otak, maka aku bikin script python yang lamaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa banget aku bikinnya. hiks, poor my skill. oke jadi ini scriptnya dan ketemu flagnyaa: kan aku masih ga percaya diri kalo kode ini efektif dan singkat kan; trus aku coba deh pergi ke chatGPT. di sana dikasi kode yang katanya "efektif" tapi outputnya gasesuai sama aslinya. dari sini aku jd lebih percaya diri wks. love <3 piw piw

  1. soal 2. penyelesaian ini kan dapet file dengan ekstensi .pptm. setelah aku dapet filenya, aku ngecek pake command file: dia file power point 2007+ (aku gatau apa maksudnya). aku coba repair cuma ada dua slide yang keisi. oke pasti ini ada disembunyikan atau gimana gitu. nah move on, karena ada ppt yang ada tulisannya, aku mikirnya mungkin bisa dicari pake strings, siapa tau ada di sana. tapi aku pake strings muncul kata aneh-aneh gitu. oke skip. selanjutnya aku cari tau file pptm itu apa. sampailah aku di  blog ini . aku masih belum bisa menyimpulkan apa-apa, tapi yang aku notice di sana adalah file .pptm bisa dibuka dengan 7-zip. karena ada kemungkinan bisa berhubungan dengan file zip, aku coba pake binwalk untuk mencari file-file tersembunyi lain: oke bener banget. ada banyak file zip di sini, dan hampir di line terakhir, ada file mencurigakan yang namanya "hidden": oke ada kemungkinan langkahku sampai sekarang bener. aku unzip file-file itu biar bisa dibuka satu-satu:...

  1. soal 2. penyelesaian developer tools first. aku liat cookiesnya gada perubahan pas aku enter incorrect password. terus aku cari disource, ada tiga file yaitu html, js, sama css. nah di file js ada ini: karena itu dibacanya, kalau ga sesuai sama itu string maka muncul pop up Incorrect password, ada kemungkinan kalau string itu passwordnya. karena range karakternya kaya base64, kucoba cari base64 decoder online dan ketemu string passwordnya. hal yang sama juga pada usernamenya. tapi setelah ini aku jadi penasaran, kenapa harus di-decode? aku coba masukin password dan uname dalam bentuk base64, keluarnya incorrect. terus aku coba analisis kode js nya, kok kaya gaada line code yg mengubah dari ASCII ke base64? tp justru percabangan itu bisa dipenuhi dengan ASCII? harus mendalami js lagi nih.. ohh, dari  sini ternyata karena ini: tadi di script js nya ada btoa dan atob, aku-nya yang belum tauuuuu..oke siiiiip oke lanjut pake uname dan password hasil decoding dari base64, maka...

  1. soal 2. penyelesaian mengeklik linknya akan didapat halaman web dengan form suruh ngisi password. tak coba isi password asal dan muncul incorrect password. lalu seperti biasa, aku masuk di developer tools dan di file htmlnya ada ini: tambahan: tadi habis dari itu aku sempetin ngecek di cookiesnya. aku coba masuk-masukin password asal, cookiesnya gak berubah kaya di soal yang sebelumnya. pas passwordnya bener, cookiesnya juga gak berubah. itu kenapa? apa karena ini bukan laman web yang dinamis? aku akan mendalami cookies lagi!! oke lanjut. di file itu ada if banyak banget dan isinya pico dst. mungkin ini flagnya! lalu aku susun itu filenya. tapi dia dislice gitu. tak urutkan slicingnya, ketemulah password ini: (ini tempat ngetiknya ngawur ya, biar gampang nyusunnya) terus udah, kuasukin ke formnya dan muncul popup verified. trus ke web picoCTF dan bener flagnya adalah passwordnya.

1. Static ain't always noise  ini tinggal buka filenya dengan command [cat static] atau [strings static] pada terminal tanpa tanda kurung kotak, lalu flagnya langsung ketemu 2. The Numbers (Cryptography) setelah mendownload file akan didapat gambar. gambar itu isinya angka-angka yang sesuai urutan alfabet. carilah itu alfabet dari setiap angka dan ketemulah flagnya. 3. crackme-py (Reverse Engineering) ini didapatkan file python. tugas kita adalah merekonstruksi kodenya agar variabel dengan string yang dienkripsi dengan algoritma yang telah dituliskan dalam program dapat ter-dekripsi. kita print hasil dekripsinya lalu flagnya langsung ketemu. 4. Credstuff(Cryptography) setelah didownload dapat file dengan ekstensi [.tar] yang berjenis POSIX archive file. setelah diekstrak dengan command tar(selanjutnya cari [tar --help] aja, lupa saya commandnya apa), didapat dua file username.txt dan password.txt. setelah  itu kit abuka username pake notepad dan search nama yang ditentuka...

  1. soal 2. penyelesaian aku buka websitenya dan muncul-lah ini: tiap ada form login begini aku selalu isi dg kata asal dan lihat efeknya. ternyata efeknya gini: oke kemudian aku masuk ke developer tools. ternyata ada tiga file di sourcenya: ah ini sih udah ketahuan. tapi karena aku penasaran, aku coba kembali ke login page yang belum submit apapun. ternyata cuma ada dua file. file secure.js-nya belum ada. wao nais. semoga dengan begini lama-lama aku paham cara kerja web. krn aku penasaran bgt file-file itu disimpen di manaaa? ada di local kah? tapi local itu apaa wkwk, sertaa dari sini aku jg tau kalau ternyata file js bisa muncul sendiri gitu.  oke next masuk lagi dengan pass dan uname asal dan buka secure.js, nge-copy password dan kembali lagi ke login page, lalu login pake uname dan password dari file secure.js tadi dan done, flagnya ketemu!

  1. soal 2. pembahasan klik website lalu inspect, tampillah ini: (ini gada file robots.txtnya ya) aku dapet dari writeup :" kalau coba masuk ke folder secret karena katanya mencurigakan. oke aku masuk ke secret. url diubah jadi /secret/, dan bener. muncul file bernama secret dengan file hidden di dalamnya (ko idenya ada aja sih :"). ini dia muncul file lagi: muncul file hidden yang mana isi dari file hidden akan kita buka: itu muncul file lagi namanya superhidden. kita buka lagi supperhiddennya: dan udah habis, gaada sub-folder lagi. nah di file (index) baru deh ada flagnya..

  1. soal 2. penyelesaian begitu diklik linknya, muncul ini: ini kan judulnya "roboto sans" nah aku malah nyoba nyari di source bagian font yg roboto :v tapi gada apa-apa. akhirnya liat writeup dan katanya "roboto" merujuk ke robots.. waw ga kepikiran hm. brrti nih kalo nemu ginian kudu cepet-cepet ke robots.txt dulu, abis itu baru masuk ke developer tools, liat source sama cookies. kalo ada form coba isi asal dst dst.. oke move forward, setelah masuk ke file robots.txt muncul ini: nah itu ada kemungkinan base64, hash juga bisa tp kan hash gabisa didecode. jadi kita buka base64 decoder didapat: 1. dari line pertama. masuk akal tp pas aku cari, 404 not found 2. dari line kedua. dan inilah path menuju flagnyaa! 3. dari line ketiga. wast is das? /insert mim mengheran

  1. soal 2. pembahasan ini beruntung aja sih. aku ga buka file "source" yang ada karena gatau cara bukanya. pas aku masuk ke situsnya, muncul gini:  kebetulan aku set valuenya - dan ternyata uangnya nambah. ini aku dapet inspirasi dari wrietup di soal lain sih. karena uangnya nambah, akhirnya bisa beli flag. tapi flag itu dalam desimal, jadinya perlu diconvert ke ASCII. buka decimal to ASCII converter online, ketemulah flagnya.

  1. soal 2. penyelesaian sedang merenung..

  1. soal 2. penyelesaian dari deskripsinya dikatakan bahwa "hiding things from all its user". "can you join as Joe?" berarti dia berkenaan dengan database atau cookies mungkin? aku klik linknya, muncul begini: terus kan seperti kebiasaanku, aku buka developer tools. kaya dugaan tadi, aku masuk di tab application dan ngeliat cookiesnya. di sana ada begini:  tapi aku gapaham ini apaan. aku liat writeup orang deh :( terus coba login pakai usernam dan password ngawur. nanti munculnya gini: usernamenya tadi AAAA dan passwordnya qqqqq, dari situ muncul di name yaitu admin, password, dan username. bisa dilihat di satas. trus muncul no flag for you. ini berarti kan kita sebagai "user" dihide sesuai dengan deskripsi tadi. terus apakah ini benar (mungkin bisa dijawab pas aku lebih mendalami lagi): semua orang bisa login secara asal, berarti website ini tidak memiliki database? terus gimana dengan cookiesnya? oke lanjut, dari writeup dikasih tau kalau value dari adm...

  1. soal 2. penyelesaian begitu dibuka muncul ini: setiap ngerjain aku selalu masuk di developer tools untuk ngecek file html, css, or js. sapa tau ada sesuatu di sana hehe, tp kali ini di sana gada apa-apa. lagian ada hint kata "robots". siapa tau ini merujuk ke robots.txt?  robots.txt sendiri adalah file yang membuat robot tidak bisa mengunjungi bagian dari web kita. ini digunakan untuk mencegah robot pemindai jahat men-scan bagian server(penyimpanan) dari web kita yang mungkin memuat data-data penting, kaya contohnya web kependudukan yg dia nyimpen emailnya penduduk(ini contoh aja). jadi webnya lebih aman dari ancaman robot pemindai jahat. lebih lengkapnya ada di  sini . ini sesuai juga sama hint yang diberikan: nah setelah urlnya aku tambahin /robots.txt, muncul-lah ini (berarti langkah kita kemungkinan bener): oke, berarti ada kemungkinan kalau ada sesuatu di 8028f.html. kita rujuk dia dan ketemulah: done.