Sabtu, 15 Agustus 2015

WEBSHOP SQL INJECTION TYPE $_POST DENGAN HACKBAR MODIF

setelah sekian lama sibuk dengan RL akhirnya bisa nulis lagi..
kali ini saya akan share hal yg sedikit berbau "kartu"  :D. ingat tujuan kita hanya untuk mencari cc/emailnya, jadi sangat saya sarankan untuk TIDAK  mendefacenya..:D

mungkin selama ini agan2 yang sedang atau ingin terjun di dunia kartu selalu menggunakan senjata andalannya yaitu havij.namun ternyata tidak semua webshop bisa kita injeksi dengan havij,ada beberapa webshop hanya bisa di injeksi dengan cara manual.

bahan bahan yang di butuhkan

-komputer/pc/laptop (wajib)
-koneksi internet (wajib)
-browser mozilla (wajib)
-hackbar modif (wajib)
-secangkir kopi+sampoerna mint (optional)..:D

untuk dorknya bisa di kreasikan sendiri.

ok lets start..

- pertama kita install dulu hackbar modifnya.. download di sini. klik allow, trus klik installnow, otomatis hackbar udah terintall di mozzila anda. restsrt browser anda.

- siapkan target.. di sini sya menggunakan live target yaitu http://jaketonline.info/ karena kita akan meng injeksi type post maka kita coba test vulnya pada form pencarian dengan menambahkan tanda kutip (')

- yups.. ternyata error.

-ok next. kita aktifkan hackbar kita dengan cara klik option trus klik hackbar atau dengan pencet tombol f9

-klik load url dan enable post data kita centang

-selanjutnya kita mencari jumlah kolom dengan order by q=%27order by 1-- - kemudian klik execute.lakukan berurutan hingga menemukan error.


yups error unkwon columns 17,ada pada kolom 17, berarti jumlah kolom ada 16

-selanjutnya kita kita mencari angka ajaibnya dengan perintah union select q=%27and 0 UNION SELECT 1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16-- - kemudian klik execute .yup..muncul angka 2 3 7 14 16



-selanjutnya masih dengan hackbar kita akan melakukan DIOS atau dump in one shoot.. blok angka yg vuln trus klik union based ,dios mysql dan dios by madblodd.. dan walaaaa.. muncul semua isi daleman webshop..:D

-next step kita cari table yg berbau "kartu" atau kalo hanya ingin ngedump user untuk dapetin email

-karena tujuan kita hanya hanya untuk mencari cc atau ngedump email customer saya tidak sarankan untuk mendefacenya..:D

demikian tutorial singkat ini kalo ada bagian yg belum jelas silahkan tinggalkan komentar..:D

happy injecting.
Load disqus comments

0 komentar

Comments
0 Comments