Tutorial DVWA : SQL Injection Medium Level

Hai Binerian, sudah kenal yang namanya DVWA? DVWA merupakan singkatan dari Damn Vulnerable Web App yang berarti sebuah aplikasi web yang menyediakan celah keaamanan yang sengaja dibuat untuk menguji kemampuan hacking seseorang. Dengan kata lain, DVWA adalah target hacking.

Apa saja jenis hacking yang bisa dilakukan dengan menargetkan DVWA? Ada bermacam-macam, seperti SQL Injection, Reflective XSS, Stored XSS, Command Injection, dan lain-lain. Aplikasi ini juga fleksibel karena dikembangkan menggunakan PHP serta MySQL sehingga bisa dipasang pada XAMPP maupun Sistem Operasi Linux. Jadi kalian tidak perlu takut harus menggunakan Sistem Operasi Linux agar dapat menggunakannya.

Kali ini admin akan menunjukan tutorial hacking menggunakan metode SQL Injection pada DVWA dengan level MEDIUM. Namun sebelum lanjut, pastikan kamu telah menginstall DVWA nya terlebih dahulu. Tutorialnya ada pada link berikut

A. Alat dan Bahan

Alat dan bahan yang admin gunakan pada tutorial kali ini adalah Burp Suite Community dan aplikasi John The Ripper pada OS Kali Linux untuk mendeskripsi password user. Buat kalian yang tidak punya Kali Linux, silahkan cari aplikasi Dekriptor MD5 di Google

B. Langkah-langkah

1. Pasang DVWA pada XAMPP di windows. ctt : ip address windows 192.168.1.2

2. Akses DVWA melalui browser di OS Kali Linux pada Virtual Machine

3. Masuk ke menu DVWA Security, lalu atur levelnya menjadi Medium

4. Masuk ke menu SQL Injection

5. Ubah alamat proxy pada browser dengan ip address Kali Linux. Misalnya 192.168.1.1:8080

6. Buka aplikasi Burp Suite Community di Kali Linux

7. Setting proxy pada burpsuite dengan menambahkan alamat ip Kali Linux. Misal 192.168.1.1:8080

8. Aktifkan fitur intercept pada tab intercept

9. Buka browser kembali, lalu pilih salah satu id pada dropdown list, lalu klik submit

10. Pada saat ini, browser akan berada pada tahap menunggu. Buka kembali aplikasi Burp Suite, lalu ubah baris id=1&submit=Submit menjadi id=1 or 1=1 union select user, password from users#&Submit=Submit

11. Klik Forward, lalu buka kembali browser, maka akan tampil seperti pada gambar berikut

12. Dekripsi baris yang ada pada kotak hitam menggunakan aplikasi md5decrypt.org

This image has an empty alt attribute; its file name is sqli-low-3.png

13. Jika menggunakan aplikasi John The Ripper, salin username dan password ke dalam file txt

This image has an empty alt attribute; its file name is sqli-low-2-1.png

14. Lalu jalankan aplikasi John The Ripper menggunakan perintah berikut

This image has an empty alt attribute; its file name is sqli-low-4.png

15. Jika sudah dapat passwordnya, logout dari DVWA, lalu coba login menggunakan salah satu akun yang sudah didapat tadi. Disini admin coba menggunakan username “pablo” dengan password “letmein”

Leave a Reply