SQL Injection - Subdomain kemsos.go.id

hallo good people!, Kembali lagi bersama saya dandy :D Kali ini saya akan share BUG yang saya temukan di subdomain kemsos.go.id, Bug tersebut adalah SQL Injection ( Post data ). Langsung saja ya…

Waktu itu saya sedang menjelajah di website kemsos.go.id, dan saya menemukan suatu subdomain, yang dimana kita harus meng-select menu yang tersedia, nanti output akan muncul di bawah form tersebut

Saya berpikir untuk mencari post data dan request url nya. saya menggunakan inspect element lalu ke network, dan saya berhasil mendapatkan post data dan request url nya

Saya langsung saja membuka request url nya, dan lihat respons dari request url nya adalah

Lalu saya juga mendapatkan Post datanya

Selanjutnya saya melakukan scanning di SQLMap dengan command

sqlmap.py -u “url.com” — data=”post datanya” —dbs

Hasilnya adalah

Total ada 64 database yang berhasil saya dapatkan, beserta informasi email, username dan password

Dan saya berhasil masuk ke page adminnya

Sekian write up sqli sederhana ini, jangan lupa claps nya ya, agar saya semangat untuk meng-share write up sqli lainnya!