Setelah lama istirahat dari aktivitas hacking dan fokus nge wibu, beberapa waktu lalu nakanosec mendapat pengalaman yang menarik untuk ditulis di situs ini. Kami minta maaf untuk tidak dapat membalas inbox teman teman yang bertanya melalui fanspage nakanosec, sungguh kami sedang lelah untuk beberapa saat. Oke, langsung saja mulai cerita.
Seperti manusia pada umumnya ketika saya gabut dan tidak ada kerjaan, saya melihat story instagram teman teman saya. Tak saya sangka tak saya duga ada wanita yang cantik jelita dan membuat saya terpesona. Layar laptop dengan tampilan google search page di depan saya serasa menggoda untuk menuliskan namanya. Entah apa yang saya pikir, saya sendiri tidak berniat melakukan OSINT ataupun Hacking, hanya ingin melihat apa yang internet miliki tentang dia. Udahan kasmarannya mari kita bahas sisi hackingnya
segala informasi pribadi disamarkan dalam tulisan ini untuk menghargai privasi
Reconnaissance
1.Saya melakukan pencarian menggunakan nama pada search engine google
Pada hasil pencarian terdapat url dimana file type yang ditampilkan adalah pdf dan juga memuat nama. dengan kondisi seperti ini bahkan sebelum membuka urlnya secara penuh saya dapat menyimpulkan ada dua common bug (bug yang sering dijumpai) yaitu Local file inclusion dan SQL injection. Bukan tanpa alasan karena situs seperti ini biasanya menampilkan documen dari database dan langsung di generate ke pdf, hal ini juga berlaku pada bug LFI yang cara kerjanya hampir sama (dari segi url doang, bingung jelasinnya).
2.Ketika saya buka saya mendapatkan url seperti berikut http://univnolep.ac.id/html/cert.php?pid=123 dan berisi pdf dengan nama didalamnya.
tak hanya disitu, ketika saya membuka link saya juga disuguhkan dengan favicon berupa logo xampp. Dari kejadian ini saya lansung berasumsi bahwa situs ini tidak memperhatikan keamanan.
3.Melakukan tes untuk mengetahui apakah rentan dengan serangan SQLinjection dengan menambahkan Quote atau tanda petik. jika output error maka situs tersebut dapat diinjeksi (vuln).
dan ternyata seperti dugaan web tersebut memiliki kerentanan SQL injection.
Exploitasi
1.Menggunakan command sql injection seperti pada umumnya namun gagal
sqlmap -u "http://univnolep.ac.id/html/cert.php?pid=123" --dbs
2.Kemudian meningkatkan jumlah payload yang dicoba pada sqlmap dengan menambahkan level dan risk pada command sqlmap
sqlmap -u "http://univnolep.ac.id/html/cert.php?pid=123" --level=3 --risk=3 --dbs
3.Mencoba sql into outfile karena mendapati database dengan user root
sqlmap -u "http://univnolep.ac.id/html/cert.php?pid=123" --level=3 --risk=3 --os-shell
sayangnya sekalipun user root pada kasus ini, tapi tidak bisa mendapatkan sesi shell interaktif dari SQLmap.
Dengan temuan ini saya mendapatkan data data pribadi si cewek tadi mulai dari tanggal lahir, alamat, kk, ktp, nama ayah dan masih banyak lagi. melihat pentingnya data yang bisa didapat, temuan ini telah dilaporkan kepada pihak terkait semoga ada tanggapan baik dari developer atau pihak terkait. Jika kalian ingin belajar membuat laporan yang baik setidaknya kami memiliki beberapa tips yang dapat kalian baca disini
Mungkin sekian, jika ada pertayaan silahkan mampir ke fanspage kami. Bye bye~