THM/LFB26 :Hidden Deep Into my Heart

THM/LFB26 :Hidden Deep Into my Heart

Versi singkat :

Enumerasi direktori (aku pakai dirsearch) sampai ketemu halaman login, passwordnya ada di komentar file yang ditemukan.

What i actually do :

Karena halamanya tidak interaktif jadi aku coba lakukan inspect element, mengawasi traffic di tab network, mengecek local storage dan cookies tapi tidak ketemu apa-apa. Kemudian aku lanjutkan pakai dirsearch, ketemu robots.txt, di sini kita menemukan direktori pertama tapi masih static file, saya kembali melakukan inspect element dibarengi menjalankan dirsearch di direktori ini, kemudian menemukan direktori kedua yang berisi panel login.

Setelah menemukan panel ini, seperti biasa : inspect element, pantau network, cek storage, tidak menemukan apa-apa. Coba dengan manual sqli, tidak berhasil kemudian bruteforce dengan hydra dibarengi dengan dirsearch—siapa tahu ada BAC. Tetap gagal, terus lihat lagi ke robots.txt ada komentar, kugunakan dengan kombinasi admin-komentar untuk login, Berhasil.