SQL injection

Soal CTF yang baik tidak akan bisa diselesaikan dengan program seperti SQLMap. Sudah ada banyak sekali tutorial, presentasi, paper mengenai SQL Injection, jadi saya hanya akan memberikan beberapa point penting

Input

Tidak semua SQL injection berasal dari input user atau dari URL, tapi bisa dari sumber lain:

  • Header HTTP (termasuk juga Cookie)
  • Informasi/metadata dari file yang diupload (termasuk juga nama file)

Cheat Sheet

Saya tidak hapal semua bentuk injection untuk berbagai database, hanya menghapal dasarnya saja. Berikutnya biasanya saya mencontek dari berbagai situs berikut ini:

http://pentestmonkey.net/category/cheat-sheet/sql-injection

https://www.owasp.org/index.php/SQL_Injection_Prevention_Cheat_Sheet

https://www.netsparker.com/blog/web-security/sql-injection-cheat-sheet/

Teknik spesifik MySQL

Sejauh ini MySQL adalah database yang paling banyak dipakai di soal CTF. Beberapa alasannya adalah: gratis, mudah disetup dan cukup ringan.

Contoh Soal

Longwood Medical

Contoh soal injection paling sederhana yang mengecoh sebagian orang

http://blog.rentjong.net/2015/03/boston-key-party-2015-longwood-medical.html

ImageUpload

Soal injection dengan EXIF metadata

http://blog.rentjong.net/2014/10/hacklu-ctf-2014-imageupload.html

Web Guest Book

Soal sql sederhana

http://blog.rentjong.net/2014/07/pwnium-ctf2014-web200-guest-book.html

Killy the bit

SQL injection dengan filter

http://blog.rentjong.net/2014/10/hacklu-ctf-2014-killy-bit.html

Little Bobby Application

SQL injection di Android menggunakan Intent

https://github.com/yohanes/write-ups/tree/master/google-ctf/mobile-little-bobby-application

Copyright © 2009-2010 Yohanes Nugroho