WEB - Web Application Exploitation
Ada halaman login di http://example.com/login.
Clue: "Kadang sesuatu disembunyikan di balik HTML."
CTF{found_in_the_source}
Command line tool ini digunakan untuk mengekstrak dan menampilkan string yang dapat dibaca dari binary file
What is strings?
Vulnerability fundamental ini terjadi ketika program menulis data melebihi batas buffer yang dialokasikan di memory.
What is buffer overflow?
Cipher substitusi klasik ini menggeser setiap huruf dalam alfabet dengan jumlah posisi yang tetap, dinamai sesuai nama pemimpin Romawi.
What is Caesar Cipher?
Ekstensi file ini digunakan untuk paket instalasi aplikasi Android yang dapat di-install pada device
What is APK?
Ada form login:
Username: admin
Password: ?
Clue: "Sometimes 1=1 is the key."
CTF{basic_sql_injection}
Instruksi assembly x86 ini digunakan untuk mentransfer kontrol eksekusi ke subroutine atau fungsi.
What is call?
Teknik exploit ini mengoverwrite return address pada stack untuk mengarahkan eksekusi program ke lokasi yang dikontrol penyerang.
What is return address overwrite?
Algoritma hashing kriptografi ini menghasilkan digest 256-bit dan merupakan bagian dari SHA-2 family
What is SHA-256?
Tool reverse engineering Android ini dapat mengkonversi bytecode DEX kembali ke source code Java yang dapat dibaca
What is jadx?
Tool debugger populer ini sering digunakan dalam Linux untuk analisis dinamis dan reverse engineering binary
What is GDB (GNU Debugger)?
Proteksi keamanan ini mencegah eksekusi kode pada stack dengan menandai area memory sebagai non-executable.
What is NX bit (No-eXecute) / DEP?
Dalam sistem RSA, komponen rahasia ini harus dijaga keamanannya karena digunakan untuk dekripsi dan digital signing.
What is the private key (d)?
Proses ini menghilangkan pembatasan sistem iOS untuk menginstall aplikasi dari sumber tidak resmi dan mendapat akses root.
What is jailbreaking?
Situs menampilkan: "You are logged in as Guest".
Clue: "Cookies tell who you are."
CTF{cookie_monster}
Teknik obfuscation ini menggunakan packer seperti UPX untuk mempersulit analisis static pada malware
What is executable packing?
Teknik advanced ini menggunakan gadget kode yang sudah ada dalam binary untuk membangun payload exploit tanpa injecting shellcode.
What is ROP (Return Oriented Programming)?
Serangan terhadap stream cipher ini terjadi ketika key yang sama digunakan untuk mengenkripsi multiple plaintext, memungkinkan key recovery
What is many-time pad attack?
Vulnerability Android ini terjadi ketika aplikasi mengexport component tanpa proper validation, memungkinkan akses unauthorized dari aplikasi lain.
What is exported component vulnerability?
Aplikasi ping: http://example.com/ping?ip=127.0.0.1
Clue: "Kadang titik koma membuka pintu."
CTF{command_injection_success}
Anti-debugging technique ini menggunakan instruksi RDTSC untuk mengukur waktu eksekusi dan mendeteksi kehadiran debugger.
What is timing-based anti-debugging?
Vulnerability ini memungkinkan penyerang membaca atau menulis memory arbitrary melalui format specifier yang tidak properly validated.
What is format string vulnerability?
Jenis side-channel attack ini menganalisis variasi konsumsi daya elektrik selama operasi kriptografi untuk mengekstrak secret key.
What is power analysis attack (DPA/SPA)?
Framework dynamic instrumentation ini memungkinkan code injection dan function hooking pada aplikasi mobile iOS dan Android secara real-time
What is Frida?