21:40
Aris | .
Nih om...!!! Ane Di sini cuma pengen ngeshare cara HACK cash dari gemscoolnya sendiri..
Jadi, jangan harap agan MINTA LINK, ini Just SHARE...!!! [link'nya ane
jual, 50rb aja, bayar lwat REKENING ato pulsa jg bisa] minat wall kesini
aja
FACEBOOK
Jadi Di sini hanya orang yg ngerti SQLi No Leecher's
Nih barang buktinya om...!!
Sengaja ane tutup ID ane, takut banyak yang mau HACK ID ane pake Pishing... cape dech
MAU DAPAT UANG DARI INTERNET?? KLIK DIBAWAH INI.... SELAIN ITU JUGA ADA INFO LEBIH MENARIK LAINNYA!!!
Langsung ajja om..!!!
Ane Pake WEB orang ajja om..!! Kalo pake Web gemscool nya langsung, takut banyak leecher's yg mendadak menjadi hacker....!!!
Sebenarnya bug SQL pada situs-situs berbasis php sudah lama ditemukan.
Karena bug itu sudah lama, jadi sudah tidak banyak lagi situs-situs yang
terdapat bug SQL-nya.
Tapi setelah saya coba searching dengan bantuan om Google, ternyata
masih ada loh…. ^^. Ada baiknya trik ini dipakai cuman untuk media
pembelajaran. Kalaupun nanti anda melakukan lebih dari itu, saya gak
tanggung jawab deh! haha….
Nah, seperti pada judul diatas. Kita akan melakukan teknik SQL Injection
Union pada situs-situs berbasis php dengan bantuan tools SQLI Helper.
Namun jika anda ingin melakukannya secara manual, anda bisa mencari
situs-situs yang mengupas artikel SQL Injection secara manual. Banyak
kok…..
Tapi kalau ada yang gampang, ngapain cari yang susah!! Bener gak? Hahahaha….
Ok, kita langsung saja ya…..
Pertama-tama :
Lihat ne ada Log admin
Langkah pertama, download tools SQLI Helper V 2.7 Sizenya gak gede-gede
amat kok. Cuman 241 KB. Mau??????? Cari ajja sendiri di Embah
Google....wkwkwkwkwk....
Oh ya, ketika anda menjalankan tools ini. Pastikan safety guard/resident
shield antivirus anda dalam keadaan nonaktif ya. Soalnya tools ini akan
dianggap trojan. Tapi saya jamin, tools ini aman kok. ^^
Langkah kedua, setelah selesai didownload. Buka tools tersebut...!!!
Pada kolom Target, kita akan mengisikan alamat url situs yang kita
curigai masih terdapat bug SQL-nya. Namun url yang dijadikan target
bukan url seperti biasanya, misalnya :
http://duniainternet.info Namun,
http://www.er.com.my/Content.php?id=1..
Loh, cara dapetin url seperti itu gimana? mudah kok….!! Dengan bantuan
om Google, apapun yang kita cari bisa kita dapatkan. (berarti bisa tau
sapi saya yang ilang dong?).
Buka Google.com. Lalu masukkan script berikut di kotak penelusuran.
Script:[code]inurl:index.php?id=
inurl:trainers.php?id=
inurl:buy.php?category=
inurl:article.php?ID=
inurl:play_old.php?id=
inurl:declaration_more.php?decl_id=
inurl:Pageid=
inurl:games.php?id=
inurl:page.php?file=
inurl:newsDetail.php?id=
inurl:gallery.php?id=
inurl:article.php?id=
inurl:show.php?id=
inurl:staff_id=
inurl:newsitem.php?num=
inurl:readnews.php?id=
inurl:top10.php?cat=
inurl:historialeer.php?num=
inurl:reagir.php?num=
inurl:forum_bds.php?num=
inurl:game.php?id=
inurl:view_product.php?id=
inurl:newsone.php?id=
inurl:sw_comment.php?id=
inurl:news.php?id=
inurl:avd_start.php?avd=
inurl:event.php?id=
inurl:product-item.php?id=
inurl:sql.php?id=
inurl:news_view.php?id=
inurl:select_biblio.php?id=
inurl:humor.php?id=
inurl:aboutbook.php?id=
inurl:fiche_spectacle.php?id=
inurl:communique_detail.php?id=
inurl:sem.php3?id=
inurl:kategorie.php4?id=
inurl:news.php?id=
inurl:index.php?id=
inurl:faq2.php?id=
inurl:show_an.php?id=
inurl:preview.php?id=
inurl:loadpsb.php?id=
inurl:opinions.php?id=
inurl:spr.php?id=
inurl:pages.php?id=
inurl:announce.php?id=
inurl:clanek.php4?id=
inurl:participant.php?id=
inurl:download.php?id=
inurl:main.php?id=
inurl:review.php?id=
inurl:chappies.php?id=
inurl:read.php?id=
inurl:prod_detail.php?id=
inurl:viewphoto.php?id=
inurl:article.php?id=
inurl:person.php?id=
inurl:productinfo.php?id=
inurl:showimg.php?id=
inurl:view.php?id=
inurl:website.php?id=
inurl:hosting_info.php?id=
inurl:gallery.php?id=
inurl:rub.php?idr=
inurl:view_faq.php?id=
inurl:artikelinfo.php?id=
inurl:detail.php?ID=
inurl:index.php?=
inurl:profile_view.php?id=
inurl:category.php?id=
inurl:publications.php?id=
inurl:fellows.php?id=
inurl:downloads_info.php?id=
inurl:prod_info.php?id=
inurl:shop.php?do=part&id=
inurl:Productinfo.php?id=
inurl:collectionitem.php?id=
inurl:band_info.php?id=
inurl:product.php?id=
inurl:releases.php?id=
inurl:ray.php?id=
inurl:produit.php?id=
inurl:pop.php?id=
inurl:shopping.php?id=
inurl:productdetail.php?id=
inurl:post.php?id=
inurl:viewshowdetail.php?id=
inurl:clubpage.php?id=
inurl:memberInfo.php?id=
inurl:section.php?id=
inurl:theme.php?id=
inurl:page.php?id=
inurl:shredder-categories.php?id=
inurl:tradeCategory.php?id=
inurl:product_ranges_view.php?ID=
inurl:shop_category.php?id=
inurl:transcript.php?id=
inurl:channel_id=
inurl:item_id=
inurl:newsid=
inurl:trainers.php?id=
inurl:news-full.php?id=
inurl:news_display.php?getid=
inurl:index2.php?option=
inurl:readnews.php?id=
inurl:top10.php?cat=
inurl:newsone.php?id=
inurl:event.php?id=
inurl:product-item.php?id=
inurl:sql.php?id=
inurl:aboutbook.php?id=
inurl:review.php?id=
inurl:loadpsb.php?id=
inurl:ages.php?id=
inurl:material.php?id=
inurl:clanek.php4?id=
inurl:announce.php?id=
inurl:chappies.php?id=
inurl:read.php?id=
inurl:viewapp.php?id=
inurl:viewphoto.php?id=
inurl:rub.php?idr=
inurl:galeri_info.php?l=
inurl:review.php?id=
inurl:iniziativa.php?in=
inurl:curriculum.php?id=
inurl:labels.php?id=
inurl:story.php?id=
inurl:look.php?ID=
inurl:newsone.php?id=
inurl:aboutbook.php?id=
inurl:material.php?id=
inurl:opinions.php?id=
inurl:announce.php?id=
inurl:rub.php?idr=
inurl:galeri_info.php?l=
inurl:tekst.php?idt=
inurl:newscat.php?id=
inurl:newsticker_info.php?idn=
inurl:rubrika.php?idr=
inurl:rubp.php?idr=
inurl:offer.php?idf=
inurl:art.php?idm=
inurl:title.php?id=[code]
Maka akan muncul seribu satu macam website yang url-nya mirip seperti
yang saya contohkan diatas. Sebenarnya masih banyak sih script atau dork
SQL yang bisa kita dapatkan di internet. Nanti di artikel berikutnya,
saya akan coba memberikannya secara lengkap untuk anda. Sabar aja ya…
boong
Langkah ketiga, diumpamakan anda telah memilih satu situs yang akan
digunakan sebagai target. Namun kita harus tahu, situs tersebut terdapat
bug SQL nya tidak? cara cepat mengetahui situs tersebut vuln terhadapt
serangan SQL adalah dengan memberikan tanda ” ‘ “(petik satu) di akhir
url tersebut...
Nah, kalau situs itu mengeluarkan pesan error. Maka bisa disimpulkan,
situs tersebut masih vuln dengan SQL Injection. Pesan error-nya kurang
lebih seperti ini.
Langkah keempat, masukkan url situs tadi ke kolom Target di tools SQLI
Helper. Oh ya, tanda petiknya gak usah dipakai lagi ya. Cukup urlnya
saja. Ingat….. tanpa tanda petik di akhir url!!
Setelah itu klik Inject.
Seperti di gambar ini :
Maka secara otomatis dia akan memeriksa ulang apakah url tersebut vuln atau tidak, versi database, supports union, dll.
Mantab!! Sekarang saatnya klik Get Database dibawah menu Inject.
Database:
Selanjutnya, klik Database name. Di contoh muncul 2 Database name.
Information schema dan natural. Pilih database selain Information
schema. Seperti contoh dibawag, saya memilih database natural.
Selanjutnya klik Get Tables.
Table:
Akan muncul beberapa list Tables yang ada. Sekarang tugas kita tinggal
mencari tabel yang berisikan username dan password administratornya.
Biasanya nama tabelnya tidak jauh-jauh dari admin_user, admin_login,
atau apapun yang berbau informasi login admin...
Seperti contoh diatas, saya mendapatkan tabel admin_user. Doakan saja
terdapt informasi username dan password admin didalam tabel tersebut.
Langkah selanjutnya pilih admin_user dan klik Get Coloumns.
GET COLOMN:males masukin gambarnya, coz lama
Dump Now:
Maka dengan segera, informasi mengenai username dan password administrator jatuh ketangan kita. Hahaha….. Gimana, mudah ya?
Ada yang aneh?? Password yang ditampilkan bentuknya seperti ini ya?
987d29241cc4f2a7465f2d9356ab3615
987d29241cc4f2a7465f2d9356ab3615
assword tersebut dienkripsi dengan menggunakan metode MD5. Jadi kita
harus menterjemahkan kode tersebut menjadi password yang sebenarnya.
Nah, bagaimana caranya?
Caranya cukup mudah, buka saja situs md5crack.com, lalu masukkan kode
tersebut di kotak penelusuran. Berdoa saja password anda tersebut cukup
lemah, sehingga bisa dipecahkan dengan metode brute force. Setelah anda
masukkan, klik [JaMu] hash.
crars:males masukin gambarnya, coz lama
Maka, si password pun muncul….! Passwordnya ternyata admin.
Langkah kelima, jika username dan password situs tersebut sudah
ditangan, selanjutnya tinggal mencari form login dari situs tersebut.
Misalnya :
* dsb……
Yang pasti, form login tersebut harus kita dapatkan. Entah bagaimanapun caranya….
Masih gak bisa juga??? Ck…ck…ck…. ya udah. Download tools Admin Finder
deh kalo anda kesusahan dalam mencari form login situs tersebut.
Download klik disini.
Cara kerjanya cukup mudah kok, tinggal masukkan url situs tersebut dan
tunggu tools itu bekerja secara otomatis mencari halaman adminnya.
Berdoa saja tools tersebut juga menemukannya….
Jrengg….jreng…jrenggg….! Jika anda telah mengetahui username, password,
dan halaman admin website tersebut Jika Tidak Anda Kurang Beruntung ..
Cari Soft Cybers keluaran Tahun 2011 (Bukan Software C3) . Sekian Saja
Dari Ane .. Setengah Aja Ane Terangin...
Saran saya cuman satu, usahakan jangan merusak tampilan website
terseubut. Buat aja halaman baru yang memberitahukan bahwa situs
tersebut terdapat bug SQL nya. Ingat dosa om…. !!
Semoga Membantu!
Artikel: Aris Nugroho
Harap
dicatat bahwa penulis tidak bertanggung jawab atas segala bentuk efek
dari artikel ini, tujuannya hanya untuk pengetahuan saja, jadi silahkan
gunakan untuk kebaikan dan keamanan kalian masing2. Pertanyaan yang
bersifat “Merusak” tidak akan ditanggapi.