SQL injection
Soal CTF yang baik tidak akan bisa diselesaikan dengan program seperti SQLMap. Sudah ada banyak sekali tutorial, presentasi, paper mengenai SQL Injection, jadi saya hanya akan memberikan beberapa point penting
Input
Tidak semua SQL injection berasal dari input user atau dari URL, tapi bisa dari sumber lain:
- Header HTTP (termasuk juga Cookie)
- Informasi/metadata dari file yang diupload (termasuk juga nama file)
Cheat Sheet
Saya tidak hapal semua bentuk injection untuk berbagai database, hanya menghapal dasarnya saja. Berikutnya biasanya saya mencontek dari berbagai situs berikut ini:
http://pentestmonkey.net/category/cheat-sheet/sql-injection
https://www.owasp.org/index.php/SQL_Injection_Prevention_Cheat_Sheet
https://www.netsparker.com/blog/web-security/sql-injection-cheat-sheet/
Teknik spesifik MySQL
Sejauh ini MySQL adalah database yang paling banyak dipakai di soal CTF. Beberapa alasannya adalah: gratis, mudah disetup dan cukup ringan.
Contoh Soal
Longwood Medical
Contoh soal injection paling sederhana yang mengecoh sebagian orang
http://blog.rentjong.net/2015/03/boston-key-party-2015-longwood-medical.html
ImageUpload
Soal injection dengan EXIF metadata
http://blog.rentjong.net/2014/10/hacklu-ctf-2014-imageupload.html
Web Guest Book
Soal sql sederhana
http://blog.rentjong.net/2014/07/pwnium-ctf2014-web200-guest-book.html
Killy the bit
SQL injection dengan filter
http://blog.rentjong.net/2014/10/hacklu-ctf-2014-killy-bit.html
Little Bobby Application
SQL injection di Android menggunakan Intent
https://github.com/yohanes/write-ups/tree/master/google-ctf/mobile-little-bobby-application
Copyright © 2009-2018 Yohanes Nugroho