Tutorial DVWA : SQL Injection High Level

Hai Binerian, sudah kenal yang namanya DVWA? DVWA merupakan singkatan dari Damn Vulnerable Web App yang berarti sebuah aplikasi web yang menyediakan celah keaamanan yang sengaja dibuat untuk menguji kemampuan hacking seseorang. Dengan kata lain, DVWA adalah target hacking.

Apa saja jenis hacking yang bisa dilakukan dengan menargetkan DVWA? Ada bermacam-macam, seperti SQL Injection, Reflective XSS, Stored XSS, Command Injection, dan lain-lain. Aplikasi ini juga fleksibel karena dikembangkan menggunakan PHP serta MySQL sehingga bisa dipasang pada XAMPP maupun Sistem Operasi Linux. Jadi kalian tidak perlu takut harus menggunakan Sistem Operasi Linux agar dapat menggunakannya.

Kali ini admin akan menunjukan tutorial hacking menggunakan metode SQL Injection pada DVWA dengan level HIGH. Namun sebelum lanjut, pastikan kamu telah menginstall DVWA nya terlebih dahulu. Tutorialnya ada pada link berikut. Untuk level ini sebenarnya menurut admin sendiri ini lebih mudah daripada level MEDIUM. Karena cara penggunaannya hampir sama dengan SQL Injection level LOW. Bedanya, SQL Injection level LOW menggunakan query SQL untuk memanggil data pada skema informasi, sedangkan SQL Injection level HIGH menggunakan query SQL sederhana.

A. Alat dan Bahan

Alat dan bahan yang admin gunakan pada tutorial kali ini aplikasi John The Ripper pada OS Kali Linux untuk mendekripsi password user. Buat kalian yang tidak punya Kali Linux, silahkan cari aplikasi Dekriptor MD5 di Google

B. Langkah-langkah

1. Pasang DVWA pada XAMPP di windows. ctt : ip address windows 192.168.1.2

2. Masuk ke menu DVWA Security, lalu atur levelnya menjadi High

3. Masuk ke menu SQL Injection

4. Masukan query berikut :

1' or 1=1 union select user, password from users#

5. Setelah klik submit, maka akan muncul hasil seperti gambar di bawah

12. Dekripsi baris yang ada pada kotak hitam menggunakan aplikasi md5decrypt.org

This image has an empty alt attribute; its file name is sqli-low-3.png

13. Jika menggunakan aplikasi John The Ripper, salin username dan password ke dalam file txt

This image has an empty alt attribute; its file name is sqli-low-2-1.png

14. Lalu jalankan aplikasi John The Ripper menggunakan perintah berikut

This image has an empty alt attribute; its file name is sqli-low-4.png

15. Jika sudah dapat passwordnya, logout dari DVWA, lalu coba login menggunakan salah satu akun yang sudah didapat tadi. Disini admin coba menggunakan username “pablo” dengan password “letmein”

Leave a Reply