-
Hai Sobat.
Saya ikal
Disini, saya akan sharing-sharing sedikit nih
-
Sesuai yang saya bilang di artikel sebelumnya, yaitu artikel yang ini nih SQL to XSS #3.
Disitu saya bilang, untuk menceritakan bagaimana saya menemukan bug di website sekolah saya. Yah mungkin bisa untuk edukasi juga buat kalian. Bukan niat mau pamer yah amnjc :'v.
-April/2020
Saya lupa tanggal berapa, namun saya ingat waktu itu saat bulan puasa, dan pandemi covid19 ini sudah ada terlebih dahulu. Dan saya di rumahkan.
Lalu saat itu di beri tahu di grup kelas saya bahwa esok hari akan di berlakukan ujian online. Ntah simulasi atau apa saya lupa. Dan wali kelas saya memberi sedikit info blablabla lalu di beri link berupa website sekolah saya. Menurut saya sih itu baru, website baru namun tidak pasti sih hehe. Lalu saya yah mereview website nya dan terlihat website tersebut ber CMS beesmart yah untuk ujian juga sih.
Awalnya saya mencoba mencari page adminnya seperti yang kalian tau, kalau beesmart default atau bawaan itu page admin berada di /panel/pages/ dan memiliki vulnerability berupa arbitary file upload. Namun di website sekolah nya berbeda, seperti di kelola atau di olah kembali oleh orang lain. Page admin berada di /admin dan vulnerability arbitary file upload pun sudah tidak ada heheheh. Lalu saya mencoba membypass admin panel atau admin page nya dengan menggunakan code bypass biasa ' or 1=1 limit 1 -- -+ dan '=' 'or' dan hasilnya? Nihil. Tidak ada efect xixixi. Dan saya pun melanjutkan pentest nya sesaat sesudah ujian.
-april/mei 2020
Gw lupa dah xixixi. Intinya sesudah ujian. Dan saya tetep mencari vulnerability yang lain, seperti open redirect atau vulnerability yang tidak terlalu berbahaya. Dan hasilnya? Nihil juga karena saya hanya mendapat page login siswa,index,dan page admin saja xixixi. Saya pun berhenti mencari bug nya selama beberapa hari. Karena halaman yah itu-itu aja belum ada perubahan.
-mei/2020
Dan hari pun berlalu, dan masuk hari pengumuman kelulusan nich :'v. Dan website pun halaman di ubah menjadi halaman-halaman pengumuman kelulusan seperti yang lainnya.
Apa yang masuk kepikiran saya waktu melihat website pengumuman kelulusan? Yah exploit untuk hubungi kami dan men jso halaman pesan lalu kirim dan akses hasil di page /admin/hubungi.php namun lagi-lagi tidak bisa, kenapa? Karena form button kirim pesan nya rusak alias tidak dapat mengirim data apapun.
Lalu saya ngecek URL dan mendapatkan /index.php?page=contact dan memikirkan LFI dan RFI yang dapat memanggil page melalui include $_GET atau apalah itu, saya mencoba mengakses /admin/hubungi.php dengan URL /index.php?page=/admin/hubungi.php dan hasilnya? Nihil again xixixi, saya mencoba memanggil /etc/passwd yah kalian tau hasilnya pasti gagal, lalu saya mencoba php filter dan php convert untuk mengambil source code dari file website tersebut namun tetap tidak berhasil. Yah mungkin udah di beri filter.
Sesudah mencoba LFI dan RFI saya ingat, saya belum mengecek nilai hasil ujian saya heheheh, lantas saya langsung menyalin nomor peserta saya dan langsung menscreenshot bagian nilai. Soal lulus atau tidak itu sudah pasti lulus eaaa :'v. Sesudah melihat nilai dan menscreenshot nya. Saya mengecek URL dan mendapatkan parameter /cetaksk.php?noujian=nomorpesertasaya hihi disana lah letak bug SQL Injection nya, write up ada disini dan saat saya cek user privilage untuk melakukan into outfile dan menanam kan shell backdoor kedalam server ternyata niat saya gagal padahal niat saya ingin menanam kan backdoor untuk mempatch bug tersebut dan bug lainnya dan tentunya website tersebut akan ada di barisan notifier zone-h.org xixixi.
-beberapa hari setelah kelulusan
Ada sebuah tim yang menemukan celah add admin di website pengumuman kelulusan. Saya pun mencoba exploit tersebut. Berhubung niat saya untuk menanam kan backdoor masih hangat xixixi saya mencoba exploit tersebut sesegera mungkin. Namun? Ntah developer nya itu sudah tau atau memang dia mantan defacer nih. File yang terdapat bug tersebut di buat blank :'v bukan blank sih, di buat semacam conection error saat mengakses file tersebut :'v. Ngeri emang. Yasudah lah, niat untuk pentest pun menurun drastis :'v.
dan yah segitu saja mungkin untuk artikel kali ini. Sekali lagi ini bukan niat mau pamer yah bang jago. Gw tau lu jago bang heheheh. Yodah segini ae dulu
Thanks, next artikel mungkin gw bakal buat artikel LFI atau laravel phpunit RCE
See u
