Bug Xpath Injection #Part 1

 XPath Injection adalah teknik serangan yang digunakan untuk mengeksploitasi aplikasi yang membangun kueri XPath (XML Path Language) dari input yang disediakan pengguna untuk meminta atau menavigasi dokumen XML. Ini dapat digunakan secara langsung oleh aplikasi untuk meminta dokumen XML, sebagai bagian dari operasi yang lebih besar seperti menerapkan transformasi XSLT ke dokumen XML, atau menerapkan XQuery ke dokumen XML.Kerentanan ini berbahaya bila si hacker atau attacker bisa mengetahui isi database website.

Nah kita lanjut ke bagaimana cara eksekusi targetnya :

Bahan :

# HP/Laptop/Komputer

# Browser Crome & FireFox

# Query? : ' and extractvalue(0x0a,concat(0x0a,'Injected By Chaplin'))-- -

Oke lanjut ke langkah² nya :

Oke saya di sini akan testing website https://ppdb.man2magetan.sch.id di situ ada vuln Xpath Injection nya,Tanpa basa basu mari kitake eksekusinya

Pertama buka Crome

Target : https://ppdb.man2magetan.sch.id

Oke kita bisa klik : login calon siswa

https://ppdb.man2magetan.sch.id/logcs

Nah selanjutnya kalian bisa tempel query yang saya taruh di bahan,Saya Contohkan seperti ini :

Kalian isi dua dua nya atas bawah sama & maka akan seperti ini hasilnya : 

Oke segitu saja Nantikan Part 2 nya Bagaimana Cara Membuka Tabel & Colom database,semoga materi yang saya sampaikan semoga anda paham,Sekian Terima Kasih :)

Bye Bye:)