SQL Injection
SQL Injection
Kali ini saya akan membahas gimana cara menembus sebuah website dengan memanfaatkan sebuah bugs sql....saya sudah menemukan sebuah website yang mempunyai bugs...
1.siapkan mental yak...ckckkckckc
oke contoh : http://chefunion.org.tw/actives_detail.php?news_id=332 (tagret)
contoh : http://chefunion.org.tw/actives_detail.php?news_id=332' target erorr...
2.berarti kita sudah bisa melakukan eksekusi mencari jumlah tabel di dalam website tersebut,
kita tambahkan +order+by+
contoh :
http://chefunion.org.tw/actives_detail.php?news_id=332+order+by+1--
http://chefunion.org.tw/actives_detail.php?news_id=332+order+by+2--
dan seterusnya hingga pesan erorr hilang
3.setelah di dapatkan banyaknya table kita langsung tambahkan seperti ini:
contoh : klik ini
sampai di website tersebut meneluarkan sebuah angka ajaib :D
4.ketika angka ajaibnya sudah muncul kita bisa eksekusi di angkanya untuk menentukan versi sql .
diweb target bakalan muncul beberapa angka,disini saya memilih angka 12 :D
nah yang muncul adalah 4.1.22-standard-log
wah wersi 4 (sebenernya rada susah di eksekusi soalnya kita harus tebak2 isi table dan colomnnya)
ternyata standart saya sudah menemukan isi colomn dan teble web target ::D
5. telah di dapat isi table dan colomn tersebut kita lakukan eksekusi seperti ini
maka di website target akan memunculkan password dan username admin :P
6.lalu kita keadmin panel untuk login.
contoh : http://chefunion.org.tw/admin/
kita login menggunakan username dan password yg muncul di web target
passnya keluar :yiyueh3000
user seperti biasa : admin
7.dan ternyata kita berhasil masuk ke website target :D
havefun all....
kalo kurang jelas bisa lihat video buatan saya di :
bisa nonton disini = http://www.cyber4rt.com/~articles/video/ atau
bisa di download agar lebih jelas disini = http://www.cyber4rt.com//~articles/video/videos/note.mp4
Sumber : http://hendrinote.blogspot.com/2010/09/sql-injection.html
