--== Cyberdow Note ==--: September 2010

Archive for September 2010

sql injection

kali ini saya akan membahas gimana cara menembus sebuah website dengan memanfaatkan sebuah bugs sql....
saya sudah menemukan sebuah website yang mempunyai bugs...

1.siapkan mental yak...ckckkckckc
oke contoh : http://chefunion.org.tw/actives_detail.php?news_id=332 <<<< tagret !!!!!

contoh diatas ketika ditambahkan tanda petik di belakangnya maka akan keluar erorr....

contoh : http://chefunion.org.tw/actives_detail.php?news_id=332' <<< target erorr...

2.berarti kita sudah bisa melakukan eksekusi mencari jumlah tabel di dalam website tersebut,
kita tambahkan +order+by+
contoh :
http://chefunion.org.tw/actives_detail.php?news_id=332+order+by+1--
http://chefunion.org.tw/actives_detail.php?news_id=332+order+by+2--
dan seterusnya hingga pesan erorr hilang

3.setelah di dapatkan banyaknya table kita langsung tambahkan seperti ini:
contoh :
klik ini
sampai di website tersebut meneluarkan sebuah angka ajaib :D

4.ketika angka ajaibnya sudah muncul kita bisa eksekusi di angkanya untuk menentukan versi sql .
diweb target bakalan muncul beberapa angka,disini saya memilih angka 12 :D

contoh : klik ini

nah yang muncul adalah 4.1.22-standard-log

wah wersi 4 (sebenernya rada susah di eksekusi soalnya kita harus tebak2 isi table dan colomnnya)
ternyata standart saya sudah menemukan isi colomn dan teble web target ::D

5. telah di dapat isi table dan colomn tersebut kita lakukan eksekusi seperti ini

contoh : klik ini

maka di website target akan memunculkan password dan username admin :P

6.lalu kita keadmin panel untuk login.
contoh : http://chefunion.org.tw/admin/
kita login menggunakan username dan password yg muncul di web target

passnya keluar :yiyueh3000
user seperti biasa : admin

7.dan ternyata kita berhasil masuk ke website target :D

havefun all....

kalo kurang jelas bisa lihat video buatan saya di :
bisa nonton disini = http://www.cyber4rt.com/~articles/video/ atau
bisa di download agar lebih jelas disini = http://www.cyber4rt.com//~articles/video/videos/note.mp4

thx for: devilzc0de | hacker indonesia (FB) n you