[ TRACK 🌐 ] Web Exploitation¶
Prasyarat: Fondasi F1–F9 (khususnya F6 Jaringan, F7 Web/HTTP, F9 Python). · Jumlah: 11 soal · Tingkat: Easy → Hard.
Tentang track ini¶
Web adalah permukaan serangan terbesar di dunia nyata — dan track terbesar di arsip kita. Kamu akan belajar menemukan & memanfaatkan celah pada aplikasi web, dari yang paling klasik (SQLi) sampai rantai serangan kompleks yang berujung akses root ke server.
🎯 Tujuan akhir track: dari "membuka halaman" sampai "menguasai server".
Tangga belajar (mudah → sulit)¶
| Urutan | Soal | Teknik inti |
|---|---|---|
| 1 | Portal Pemantauan Server (W1-C1) | SQL Injection — bypass login |
| 2 | Manajer Berkas Internal (W1-C2) | LFI / Path Traversal — baca file |
| 3 | Upload Dokumen (W1-C3) | File upload → RCE |
| 4 | Portal Unggah Laporan (W2-C1) | Upload + .htaccess bypass |
| 5 | Generator Header Laporan (W2-C2) | SSTI (template injection) |
| 6 | Sistem Pemantauan Admin (W2-C3) | Auth bypass + RCE + privesc |
| 7 | Portal Middleware Sentral (W3-C1) | SSRF → API internal |
| 8 | Portal Arsip Korporat (W3-C2) | Upload + SUID privesc → root |
| 9 | Portal Solusi Terintegrasi (W3-C3) | XXE + chain (in progress) |
| 10 | Wewenang Semu (W4-C1) | JWT confusion + cron privesc |
| 11 | Proksi Merah (W4-C3) | SSRF→Redis(root) + sudo privesc → root |
Konsep kunci yang akan dikuasai¶
- Manipulasi input (SQLi, LFI, SSTI, XXE, SSRF) — jangan percaya input pengguna.
- Kelemahan upload & eksekusi file.
- Kelemahan autentikasi (session/JWT forging).
- Privilege escalation → dari www-data ke root (SUID, sudo, cron) — lihat pola ini di Technique Index.
🛰️ Kacamata Intelijen Siber¶
Setiap celah web = pintu masuk pengumpulan informasi/akses. Memahami chain (celah kecil → kecil → besar → root) melatih cara berpikir penyerang sungguhan, sekaligus mengajarkan defender di mana harus memasang penghalang.
LIGHTSIBER · Track Web · "Jangan pernah percaya input pengguna."