Langkah2 DVWA
Langkah2 DVWA
“LANGKAH – LANGKAH
DVWA”
Fachrully Rahman
1711082049
TRPL 3A
Maka Keluar
2. Medium
Ubah dvwa security menjadi ‘Medium ‘ lalu buka SQL Injection lalu Buka Inspect Elemen pada web
browser lalu select element hinnga keluar inspect Menu / (ctrl + shift + I pada google)
Lalu pada column value tukar nilai value menjadi 1 or 1 = 1 lalu enter dan
submit pada DVWA
ID: 1 or 1 = 1
First name: admin
Surname: admin
ID: 1 or 1 = 1
First name: Gordon
Surname: Brown
ID: 1 or 1 = 1
First name: Hack
Surname: Me
ID: 1 or 1 = 1
First name: Pablo
Surname: Picasso
ID: 1 or 1 = 1
First name: Bob
Surname: Smith
2. File Upload |
Pada DVWA security ubah kembali menjadi medium
Hello
Fachhrully Rahman//1711082049//
Ubah DVWA security menjadi low lalu pilih menu xss stored pada menu xss stored sendiri ada 2 Form
Input name dan messege isi Name dengan = “Fachrully ” dan Messege <script>alert('ALERT!!')</script>
Pada bagian messege kosong dikarenakan Jenis messege menggunakan Script dari php jika
menggunakan script dari HTML dengan comment <b> Fachrully <b>
Pada XSS STORED akan keluar pada DATABASE pada table guestbook dengan isi sebagai berikut
Ubah DVWA security menjadi medium, lalu masuk ke dalam XXs stored pada bagian xss stored terdapat
menu name dan messege, pada bagian name kita ubah length untuk value nya dengan inspect elemen /
ctrl + shift + I ubah maxlenght value = “90”
lalu pada bagian nama diisi
ubah DVWA security menjadi low lalu masuk ke dalam Command injection lagi masukkan IP sesuai
dengan ip yang telah ditentukan pada config DVWA pada config DVWA saya yaitu 127.0.0.1 dengan port
8081. Untuk input command injection saya memasukkan perintah (“ip” & dir) untuk melihat directory
attribute pada ip tersebut
Output
ubah security pada DVWA menjadi medium lalu masuk ke dalam menu Command Injection lalu ketikkan
| dir / | dir/../.. untuk bisa mengakses dan melihat data yang terdapat pada directory yang ditempati
ubah DVWA security menjadi low kembali, masuk ke dalam menu CSRF dan view page source pada
halaman CSRF low / ctrl + u (View Page Source)
Lalu copy kan body-padded ke dalam note application
CSRF | Medium
ubah DVWA security menjadi Medium dan pergi menuju csrf menu tukar password anda menjadi
dengan 9999
http://localhost:8081/dvwa/vulnerabilities/csrf/?password_new=9999&password_conf=9999&Change=
Change#
http://localhost:8081/dvwa/vulnerabilities/csrf/?password_new=1234&password_conf=1234&Change=
Change#
<img src=”/dvwa/vulnerabilities/csrf/?password_new=1234&password_conf=1234&Change=Change#”>
Jangan lupa ubah maxlength menjadi dengan = “90” dan copy kan url tadi.
1. Burp Suite Instal Terlebih dahulu lalu setting pada proxy intruders menjadi off lalu klik pada bagian
proxy option lalu setting ip menjadi 127.0.0.1 dan port 8090
2. setting foxy proxy
instal foxy proxy pada Mozilla anda lalu edit proxy lalu save
Lalu pergi ke brute force lalu isikan dengan password yang salah
Lalu proxy klik pada http history lalu cari pada localhost:8081 dengan method get lalu lihat yang berisi
sama dengan username dan password yang telah kita isikan sebelumnya
Lalu klik kanan pada proxy tadi lalu kirimkan kepada intruders lalu pada position ubah jadi cluster bom
lalu hilangkan symbol ($) pada login dan cookie
Lalu payload set 1 di load dengan 1 = username
Lalu payload set 2 di load dengan 2 = password
lalu mulai / start attack
Pada bagian result terdapat request dengan payload 1 dan 2 sebagai id dan password DVWA yang salah
dan benar sebelumnya lengt yang benar akan menunjukan username dan password yang berbeda dari
length yang lain.
jika benar kita bisa liat pada response lalu render lalu keluar output sebagai berikut