Beranda  ›  Pentest

Tutorial Command Injection DVWA All Level

Ditulis Kamis, 10 Desember 2020 Tulis Komentar Edit

Command injection adalah serangan yang digunakan untuk menjalankan perintah langsung command line pada suatu web. Hal ini sering di jumpai dari beberapa website yang menggunakan fungsi pingback pada webnya, yang menyebabkan vulnerability jika tidak menggunakan validasi source code pada fungsi pingback website tersebut.

Disini saya akan memberikan contoh command injection pada DVWA dari level low sampai high, dalam hal ini DVWA disarankan bagi pemula yang ingin belajar jenis serangan pada suatu website atau bagi pemula yang ingin terjun pada bug bounty, dengan memahai jenis serangan dan cara seranganya pada DVWA anda dapat dengan mudah memahai kenapa serangan ini dapat di lakukan terhadap target dan mengembangkanya.

1. Level low command injection.

Disini kita dapat melihat vulnerability pada source code yang disediakan DVWA pada level low, dimana tidak adanya validasi perintah bantu seperti :

  • &&
  • ||
  • ;
  • ,
  • dll

Sedangkan jika kalian sering atau pernah menggunakan perintah command line pada linux maupun windows, terdapat command bantu untuk mengeksekusi dua atau lebih perintah dalah satu waktu, dalam hal ini (DVWA) kalian dapat menggunakan command injection seperti :

<IP bebas> && dir (untuk windows)

<IP bebas> && ls (untuk linux)

Maka akan menampilkan directory seperti ini :

Kalian dapat mengirimkan shell atau bahkan kalian dapat melakukan netcat atau reverse tcp pada command injection pada vulnerability tersebut, disini kalian dapat menggunakan command reverse shell tcp disini.

2. Level medium command injection.

Pada medium level kita mendapatkan dua validasi seperti && dan ; , maka dari sini kita tidak dapat melakukan command injection dengan perintah tersebut. Tapi kita dapat menggunakan perintah lain, seperti :

  • &
  • ||
  • |
  • ,
  • dll

sebagai contohnya kalian dapat menggunakan command :

<IP bebas> & dir

Maka akan menghasilkan :

3. Level high command injection

Kita dapat melihat beberapa fungsi bantu command sudah di validasi, tapi bukan berarti tidak dapat kita bypass, disini kita dapat menggunakan command yang berdempetan, karena dalam command line hal ini tetap di anggap valid dijalankan, seperti :

<IP bebas> |dir

Maka akan memunculkan hasil :

4. Level Impossible command injection.

Untuk level ini kita hanya mendapatkan prevention validasi source code yang benar untuk menghindari serangan command injection.

Artikel Terkait

Belum ada Komentar untuk "Tutorial Command Injection DVWA All Level"

Posting Komentar

Langganan: Posting Komentar (Atom)

Iklan Atas Artikel

Iklan Tengah Artikel 1

Iklan Tengah Artikel 2

Iklan Bawah Artikel