FIT CTF Writeups

by Institut Teknologi Brawijaya

Kembali ke Blog

Power Plant

July 5, 2025

Category: web

Challenge Overview

Description: This power plant's website is open for public viewing, but perhaps they've been a little too open with certain configurations.

http://20.6.129.177:8081/

Solution

Kami diberikan link menuju sebuah web. Hal pertama yang kami lakukan dalam mengerjakan challenge web exploitation pastinya mengecek /robots.txt pada web tersebut. Benar saja, terdapat file yang di-config sebagai “Disallow”, yaitu /secret_code.txt.

gambar robots

Karena file tersebut tidak ada di path “/”, maka saya mencoba untuk mencari path lain. Saya baru teringat bahwa terdapat image di halaman utama website. Gambar tersebut disimpan dalam path “http://20.6.129.177:8081/static/images/power_plant.png”.

Benar saja, saat saya mencoba-coba menyisipkan “/secret_code.txt”, akhirnya saya mendapatkan flag-nya di dalam directory static/.

gambar secretcode

Flag:

FITUKSW{b3_ec0_fr13ndly}