SQL Injection - PLN Mobile App

Halo semuanya, Kali ini saya mau menulis write up sederhana yaitu Vulnerability SQL Injection di http://mobileapps.iconpln.co.id

Penemuan ini bermula dari saya melihat tagihan pembayaran listrik dirumah saya dan membuka aplikasi PLN Mobile Android.

Saya berpikir untuk melakukan intercept menggunakan Burpsuite pada aplikasi PLN Mobile. Sebelumnya saya mengkonfigurasi Burpsuite agar bisa melakukan intercept http request di aplikasi android

Pada tahap selanjutnya, saya melakukan intercept di bagian “informasi tarif listrik berlaku”

Dan ini dia hasil intercept nya

Saya mendapatkan request url dan post datanya

Request URL: http://mobileapps.iconpln.co.id/infotdlpln Post Data: kel=R&produk=PASCABAYAR&serial=2676912684812711463125741116100882149710822849775988211212784127367787&versi=451&id=2676912684812711463125741116100882149710822849775988211212784127367787

Selanjutnya saya memeriksa di post datanya apakah vulnerable SQLI atau tidak, saya menginjeksikan dengan single quote pada parameter “produk”. Maka response nya adalah

“Error 500”

Awalnya saya tidak yakin bahwa Vulnerable SQLI, maka saya ingin memeriksanya lagi dengan menambahkan -- - setelah single quote. Maka response nya adalah

Responsnya adalah menampilkan data-data normal. Jika response yang muncul menampilkan data - data normal ketika menambahkan -- - maka bisa di pastikan vulnerable terhadap SQLI (tidak semua bisa atau pasti, tetapi mungkin saja)

Selanjutnya saya melakukan scan di SQLmap dengan command

sqlmap -u https://mobileapps.iconpln.co.id/infotdlpln --data=”kel=R&produk=PASCABAYAR&serial=2676912684812711463125 741116100882149710822849775988211212784127367787&versi=451 &id=267691268481271146312574111610088214971082284977598821 1212784127367787” --level 3 --risk 3 --dbs --threads 10

Maka hasil scan nya adalah

Terakhir data HPH Token Gratis

TETAPI DATA TAHUN 2017 HEHE…

Timeline Report

• 27 Juli, 2020 = Send report via email humas@iconpln.co.id

• 28 Juli, 2020 = Send report via email bantuan70@bssn.go.id

• 8 Agustus, 2020 = Send report via email pln123@pln.co.id

Sekian write up dari saya ini, mohon maaf apabila ada salah dalam penulisan kata. jangan lupa di share yaa, agar saya semangat untuk menulis write up kembali.

Contact me at About Me