Metode hacking website dari tahun ketahun mengalami banyak perkembangan seiring ditemukannya path dari setiap bugs kode kesalahan dari algoritma pemprograman.Setidaknya dari 2006 saya aktif dan minggu minggu bahkan hari-hariku tanpa terlewatkan dengan yg namanya internet mengikuti update informasi tentang hacking bahkan tidak jarang ikut didalamnya :P (kuli warnet sampai skrg :D) .
masih ingat di 2006 lalu saat saya masih aktif ngeblog di http://www.nakuragen.multiply.com/ banyak sekali bugs RFI (Remote File Inclusion) di temukan dibanyak web.Mulai dari joomla,wordpress,mambo,xops dan masih banyak cms laenya bahkan web yg dideveloper sendiri lebih parah :D.Sebelum RFI ada jg metode hacking web dengan bugs LFI (Local File Inclusion) .Tapi saat itu aku gag begitu konsen belajar teknik hacking ini.Iya karena saat itu saya persiapan buat masuk UMPTN) sampai di akhir 2006 bugs ini masih exis ditemukan dalam banyak sekali web.Sampai di pertengahan 2007 saya dengan gapteknya sedikit mengenal sqli (SQL Injection) :D yg sekarang gw akhirnya gag bisa masuk dan lulus test UMPTN Alhmdlh tapi bisa kuliah di D3 Ilmu Komputer dengan kampus favorit disolo ->> UNS man.. iixixi. Ok lanjut back to tulisan awalku.hem... duh lali mau ngetik apa tadi. Yups gini... tadi sampai di pertengahan 2007 ya tentang sqli.
Membutuhkan sedikit basic tentang syntax dan pengetahuan tentang database.setidaknya mysql ataupun ms.Access , Sql injection merupakan teknik mengeksploitasi web aplikasi yang didalamnya menggunakan database sebagai penyimpanan data.Disini saya sedikit membahas bagaimana melakukan hacking web dengan metode Sql Injection.
Untuk target yg kita serang saya tentukan dan sudah saya carikan ni salah satu site dibawah domain malaysia :D .Yaps kita mulai dari sini dulu.
Yang perlu disiapin sebelum berperang:
tampilan pada gambar tuh baru scanning apakah di site pd url tersebut ada bug sqlnya.itu terlihat dah kena tuh lest go lanjut uey... (jadi inget masa lalu klu post ginian waktu masih semangat semangat nya) .sipp... lanjutkan lagi.. ke step berikutnya nyari database.syntaxnya silahkan di ketik sendiri ya pakai command "./schemafuzz.py -h"
hasil dari scanning database :
masih ingat di 2006 lalu saat saya masih aktif ngeblog di http://www.nakuragen.multiply.com/ banyak sekali bugs RFI (Remote File Inclusion) di temukan dibanyak web.Mulai dari joomla,wordpress,mambo,xops dan masih banyak cms laenya bahkan web yg dideveloper sendiri lebih parah :D.Sebelum RFI ada jg metode hacking web dengan bugs LFI (Local File Inclusion) .Tapi saat itu aku gag begitu konsen belajar teknik hacking ini.Iya karena saat itu saya persiapan buat masuk UMPTN) sampai di akhir 2006 bugs ini masih exis ditemukan dalam banyak sekali web.Sampai di pertengahan 2007 saya dengan gapteknya sedikit mengenal sqli (SQL Injection) :D yg sekarang gw akhirnya gag bisa masuk dan lulus test UMPTN Alhmdlh tapi bisa kuliah di D3 Ilmu Komputer dengan kampus favorit disolo ->> UNS man.. iixixi. Ok lanjut back to tulisan awalku.hem... duh lali mau ngetik apa tadi. Yups gini... tadi sampai di pertengahan 2007 ya tentang sqli.
Membutuhkan sedikit basic tentang syntax dan pengetahuan tentang database.setidaknya mysql ataupun ms.Access , Sql injection merupakan teknik mengeksploitasi web aplikasi yang didalamnya menggunakan database sebagai penyimpanan data.Disini saya sedikit membahas bagaimana melakukan hacking web dengan metode Sql Injection.
Untuk target yg kita serang saya tentukan dan sudah saya carikan ni salah satu site dibawah domain malaysia :D .Yaps kita mulai dari sini dulu.
Yang perlu disiapin sebelum berperang:
- Addons mozilla yg ini https://addons.mozilla.org/en-US/firefox/addon/3899
-Python Programing Language silahkan jika belum punya unduh di http://www.python.org/download/
-schemafuzz.py bisa download di http://kuliah.nasrulkurniawan.net/arsip/index.php?dir=Hacking/Semua%20Tentang%20SQLi/&file=sql.zip
-google dork bisa diambil di http://g0oglehack.blogspot.com/
-untuk praktik saya pilih dork "inurl:readnews.php?id= site:my" ehhe saya sengaja mw target site malaysia :P
Dengan senjata diatas saya search di google dan saya tertarik untuk serang ini site http://www.dal.net.my/penang/readnews.php?id=4 . dengan syntax yg udah disediain schemafuzz.py masukkan url target sehingga tampil sprti gambar ini
-schemafuzz.py bisa download di http://kuliah.nasrulkurniawan.net/arsip/index.php?dir=Hacking/Semua%20Tentang%20SQLi/&file=sql.zip
-google dork bisa diambil di http://g0oglehack.blogspot.com/
-untuk praktik saya pilih dork "inurl:readnews.php?id= site:my" ehhe saya sengaja mw target site malaysia :P
Dengan senjata diatas saya search di google dan saya tertarik untuk serang ini site http://www.dal.net.my/penang/readnews.php?id=4 . dengan syntax yg udah disediain schemafuzz.py masukkan url target sehingga tampil sprti gambar ini
tampilan pada gambar tuh baru scanning apakah di site pd url tersebut ada bug sqlnya.itu terlihat dah kena tuh lest go lanjut uey... (jadi inget masa lalu klu post ginian waktu masih semangat semangat nya) .sipp... lanjutkan lagi.. ke step berikutnya nyari database.syntaxnya silahkan di ketik sendiri ya pakai command "./schemafuzz.py -h" hasil dari scanning database :kemudian dari situ kita sudah dapet info databasenya yaitu "penang" untuk melihat tabel dalam database tersebut syntaxnya bisa diliat di menu help gambar diatasny lagi tadi.
site url images:http://fkee.uthm.edu.my/student_announcement.php?id=75
pake schemafuzz masih aja handal buat nyerbu si maling itu...
(dapet wejangan dari om xsha)
eh om...btw mkasih infonya ini
ane dah donlod prangkat perangnya, tp admin.py + db.py nya kok gmw jalan ya?jd wkt diklik dy cm nongol smacem cmd gitu trus exit sndiri. bt info ane pke winXP 32+ prosesor AMD. pas tak bongkar (kyknya) ni tool didisain bt win32+proc intel gitu...
tulung penjelasan make admin.py+db.py nya lebih ditel dung...mkasih ya. lagi butuh ni..
ato krm ke imel q ya princehitam@yahoo.com