0

[Write-up][ສະເຫຼີຍ] IceCTF ChainedIn 75 ຄະແນນ

ຂໍນີ້ແມ່ນຢູ່ໃນໝວດເວັບ ເຊິ່ງເຮົາຈະໄດ້ຮູ້ກັນວ່າ mongoDB ເຊິ່ງເປັນ noSQL ວ່າປອດໄພແທ້ບໍ່… ໂດຍໂຈດໃຫ້ເວັບເຮົາມາເວັບໜຶ່ງ ແລ້ວມີ user & pass ຄື : agent1568 ເປົ້າໝາຍຂອງໂຈດນີ້ຄືການ leak the admin password ໂອເຄ ເຮົາມາລອງເບິ່ງ website ເລີຍວ່າເປັນແນວໃດ ເຮົາມາສັງເກດເບິ່ງ ເຫັນວ່າເວັບນີ້ ໃຊ້ mongoDB ເຊິ່ງເປັນ ລະບົບຈັດການ nosql ຊະນິດໜຶ່ງ ແລະເມື່ອເປີດເບິ່ງ header ກໍ່ເຫັນ X-Powered-By:Express ໂອເຄ ເປັນ nodejs ນຳ ແລະມາບວກກັບ… Continue Reading

0

[Write-up][ສະເຫຼີຍ] IceCTF Toke 45 ຄະແນນ

ໂຈດຂໍ້ນີ້ແມ່ນໝວດ Web ຢູ່ Stage 2 ໂຈດໃຫ້ເວັບເຮົາມາເວັບໜຶ່ງໃຫ້ຫາ flag ໃນນັ້ນ ເມື່ອກົດເຂົ້າໄປກໍ່ຈະໄດ້ ໜ້າເວັບແບບນີ້ ແອັດມິນກະບໍ່ລໍຊ້າກົດເຂົ້າ register ແລ້ວ login ເພື່ອເພີ່ມສິດເລີຍເນາະ ຫຼັງຈາກ login ເຂົ້າເບິ່ງແລ້ວກໍ່ບໍ່ເຫັນມີຫຍັງເພີ່ມມາໃໝ່ພຽງແຕ່ປ່ຽນເປັນ Hello, [username] ຊື່ໆ ລອງເບິ່ງຊື່ຄຳຖາມດີໆ ແມ່ນ Toke ໃນຫົວກໍ່ຄິດວ່າໜ້າຈະກ່ຽວກັບ Token ເລີຍເປີດເບິ່ງ request – response packet (ຫຼື ໃນ cookie manager ກໍ່ໄດ້)  ກໍ່ສັງເກດເຫັນ jwt_token ເຊິ່ງເປັນ json… Continue Reading

0

[Write-up][ສະເຫຼີຍ] IceCTF Kitty 70 ຄະແນນ

ໂຈດກໍ່ຈະເປັນຄືຮູບທາງເທິງ ຕອນແລກກໍ່ຄິດໄປໄກ ທັງຕ້ອງ Bypass ຫຼືວ່າໂວ່ນຳ Server ເພາະເຫັນຄະແນນຫຼາຍຕັ້ງວ່າ 70 ຄະແນນ ຫາທາງໄປມາກໍ່ບໍ່ເຫັນຈັກເທື່ອແລ້ວລອງເອົາ hash ທີ່ມັນມາໄປ Check ເບິ່ງ ໂດຍແອັດຈະໃຊ້ hashid ເພື່ອເບິ່ງວ່າເປັນ hash ຊະນິດໃດ ປະກົດວ່າເປັນ SHA-256 ໂອເຄ. ຊັ້ນເຮົາກໍ່ລອງເອົາ hash ນີ້ໄປແກະເບິ່ງ ພັດວ່າໄດ້ ຊ້ຳ ຜົນລັບຄື : Vo83* ແລ້ວກໍ່ເອົາລະຫັດນີ້ ໄປໃຊ້ login ເບິ່ງໂດຍ username ກໍ່ເດົາເອົາວ່າໜ້າຈະແມ່ນ admin ໃສ່ເຂົ້າໄປກໍ່ໄດ້ ຜ່ານໄດ້ flag… Continue Reading

0

ວິທີນຳໃຊ້ Font Phetsarath ໃນ Blogger

ສະບາຍດີ! ຫລາຍຄົນທີ່ຂຽນບລັອກດ້ວຍ blogger ຫຼື blogspot ຂອງ Google ອາດຈະເຄີຍຖາມວ່າຢາກໃຊ້ຟ້ອນ Phetsarath ຈະຕ້ອງເຮັດແນວໃດເພາະບໍ່ມີເມນູໃຫ້ເພີ່ມ Font ໃຊ້ເອງ, ໄດ້ພຽງແຕ່ໃຊ້ຕາມຟ້ອນມາດຕະຖານຂອງ Google ທີ່ກຽມມາໃຫ້ເຊິ່ງພາສາລາວເຮົາ ກໍ່ຈະສາມາດເປັນໄດ້ພຽງຟ້ອນ Dok Champa ມົນໆເນາະ ມື່ນີ້ແອັດເລີຍຈະມາແນະນຳ ວິທີເຮັດໃຫ້ blogspot ໃຊ້ຟ້ອນ phetsarath ເນາະ ອັນດັບແລກເລີຍໃຫ້ເຂົ້າໄປ Template -> Customize ແລ້ວກົດໃສ່ Advance -> Add CSS ແລ້ວກໍ່ ເພີ່ມ ໂຄ໋ດ CSS ນີ້ເຂົ້າໄປ @font-face… Continue Reading

0

[Challenge] Password comparision

ຄວາມຮູ້ທີ່ຄວນມີ : HTML ມື້ນີ້ແອັດເຮັດລະບົບກວດສອບລະຫັດຜ່ານໃໝ່ ເພື່ອຍືນຍັນວ່າລະຫັດຜ່ານທີ່ user ກອກມາມັນຖືກຕ້ອງບໍ່ ແຕ່ບໍ່ແນ່ໃຈວ່າມັນຈະປອດໄພພໍບໍ່ ເລີຍຢາກໃຫ້ບັນດາແຮັກເກີ້ ຊ່ວຍກວດສອບໃຫ້ແດ່ ວ່າລະບົບໃໝ່ຂອງແອັດຮົ່ວບໍ່ ເວັບເປົ້າໝາຍ : http://frankkung.com/challenge/comparision/ key format: FRANKKUNG{key}