BugBounty - SQL injection - Halo sobat, pada kesempatan kali ini saya mau share nih pengalaman saya dapat THR dari satu adnetwork bernama Badhits. jadi waktu itu saya sedang buka group IndoXploit, disana bug hunter bernama noobsec menyarankan saya untuk mencari target adsnetwork di website adswiki.net. jadi saya pun mencari disitu, langsung saja saya filter berdasarkan bintang. Kebetulan badhits ini bintangnya 5 dan saya pun tertuju untuk melakukan pentest di web tersebut.
Setelah itu saya membuka web badhits.com dan disana hanya terdapat form login tanpa form register, ternyata badhits sendiri hanya membuka registrasi bagi yang menggunakan kode referal. contohnya refferal code milik saya Disini. Nah disini saya penasaran sama request get dari accesskey= apakah bisa / possible buat di sqli ? awalnya saya berfikir "ah gk mungkin ini vuln" karena udh sering saya mencoba test sqli di url refferal tapi hasilnya zonk.
Setelah itu saya akhirnya mencoba menambahkan Quote setelah accesskey=[idreferral].
Setelah itu saya akhirnya mencoba menambahkan Quote setelah accesskey=[idreferral].
https://badhits.com/register.php?accesskey=YHR5AGySRb'
Ternyata response nya "mysql error". dalam hati saya berfikir " wah vuln nih boleh juga.
akhirnya saya mencoba metode union based. ternyata saat mencari magic number tidak keluar alias error.
lalu saya mencoba metode Xpath Injection (Extractvalue) dan akhirnya bisa boise.
Setelah itu saya mencoba mendump 1 user sebagai bukti yaitu akun si admin badhits. ternyata passwordnya di hash, saya tidak tau itu hash jenis apa. akhirnya saya menemukan table pwreset yg ternyata berisi code untuk mereset password akun.
Dikarenakan metode extractvalue memiliki limit dalam mengeluarkan output, saya cari metode lain.
Saya pun gunakan Double Query Error Based SQL injection. jadi seperti ini :
https://badhits.com/register.php?accesskey=-YHR5AGySRb' and SELECT 1 AND(SELECT 1 FROM(SELECT COUNT(*),concat(0x3a,(QUERY SQL LIMIT 0,1),FLOOR(rand(0)*2))x FROM information_schema.TABLES GROUP BY x)a)%23
Saya pun mendapatkan akun admin, dan langsung melaporkan ke pihak admin.
Saya tanyakan apakah dia punya bug bounty program , cs nya pun menjawab :
Video Poc :
Setelah itu saya dikirim $65, walaupun kecil yang penting bisa buat beli baju lebaran hehehe.
Timeline :
19 Mei 2019 22:10 = Bug Reported
19 Mei 2019 23:38 = Triaged
20 Mei 2019 00:09 = Bug Fixed & Ask for payments
24 Mei 2019 00:08 = $65 send to amy paypal :D
20 Mei 2019 00:09 = Bug Fixed & Ask for payments
24 Mei 2019 00:08 = $65 send to amy paypal :D
Thx guys.
![Dapet THR berkat Simple But Dengerous Bug [BugBounty - SQL injection ]](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiyFZ6dG7BB-EaJEiDCypH7JJu_ziaw67PUcJWGXcdyI9URTNj4vWZaicHqkC5zVa-typp6aupLy2KssfVudSf5oMrJ0KHEy6oemybhczmLH4QQ1HaurW861J0dBYNxMGymQHfSi8VlhZNU/s72-c/zotac.PNG)
![Fix / Patch Bug SQL injection [ Protect Website From Hacker ]](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgYbyKAmzSEKHktv_wzQx4m7_e0_nSYU853qO7c62v8OfVYUjoTbdhRAFkaBtZjnFw8tB5Yhkn3a2AYyHMvK6ukSyYyFx7lHxCR8O-h3k6tj8Z_pXFcNFmjngMoJsdYlPXzUzbuGqe97opD/s72-c/sqli.jpg "Fix / Patch Bug SQL injection [ Protect Website From Hacker ]")
![[BUGBOUNTY] Able to see everyone original url on ADFLY](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEi-hSEPdoum7hkh1Db8ffKuMaHzBJ_PKtbZZeiSbuhu7hxhk9nPHLi4eMHZVkkc27EAA1dmfXgvzOPvoQIAbNA4yZlkKtgxzEB4jnTUjIz2n6HSyFgB3ffU4_rqv7es6oRbsd3VuqNI_G6N/s72-c/adfly.jpg "[BUGBOUNTY] Able to see everyone original url on ADFLY")
0 comments