Hands-on Command Injection Attack
Jump to navigation
Jump to search
Setting Up the Environment:
Install DVWA:
- Download DVWA ZIP file dari [1](https://github.com/digininja/DVWA).
- Extract ke directory di Ubuntu server.
- Install dependency:
sudo apt install ap ache2 mysql-server php libapache2-mod-php php-mysql
Konfigurasi Apache:
- Buat file konfigurasi Apache baru (misal, `dvwa.conf`) di `/etc/apache2/sites-available/`.
- Isi dengan
<VirtualHost *:80>
ServerName dvwa.local
DocumentRoot /path/to/dvwa/
<Directory /path/to/dvwa/>
AllowOverride All
Require all granted
</Directory>
</VirtualHost>
Ubah `/path/to/dvwa/` dengan path / directory DVWA.
- Enable konfigurasi:
sudo a2ensite dvwa.conf
- Restart Apache:
sudo systemctl restart apache2
Konfigurasi MySQL:
- Buat database DVWA:
mysql -u root -p CREATE DATABASE dvwa;
- Import DVWA database schema:
mysql dvwa < /path/to/dvwa/dvwa.sql
Exploit Command Injection:
Access DVWA:
- Buka web browser dan masuk ke `http://dvwa.local`.
- Log in menggunakan default credential (`admin`/`password`).
Pilih "Command Injection" Page:
- Klik "Command Injection" link
Identifikasi Vulnerable Input:
- Di "Command Injection" page akan menampilkan form dengan text input field. Input field ini vulnerable untuk command injection.
Inject Command:
- Masukan payload berikut di text input field:
; cat /etc/passwd;
Payload akan menjalankan `cat` command untuk mendisplay isi file `/etc/passwd`.
Submit Form:
- Klik "Submit" button.
Jika attack berhasil, kita akan melihat isi `/etc/passwd`.
Additional Notes:
- Kita dapat berexperimen dengan payload lainnya untuk explorasi berbagai vulnerability lainnya.
- Selalu menggunakan controlled environment dengan explicit permission dari pemilik sistem.
- Ingat bahwa exploiting vulnerabilities adalah illegal dan tidak ethis.