Seperti yang sudah sering/banyak dibahas dinternet mengenai hacking dengan tehnik SQL Injection, kali ini kita coba melakukan hacking untuk asp web dengan menggunakan bug yang bisa dibilang sudah kuno yakni BUG 'or''=' untuk ASP web page
Namun sebetulnya bukan masalah methode/bug yang akan saya tekankan disini melainkan seberapa gigih usaha kita dalam melakukan kegiatan hacking.
Langsung aja sowan ke rumah si Mbah minta restu serta petunjuknya, dengan menggunakan Kata kunci: allinurl:"/admin.asp"
Setelah diberi petunjuk, langsung saja kita ambil alamat berikut sebagai kelinci percobaan :D ==> http://www.rajputwedding.com/admin/admin.asp
Gak usah pake lama, langsung browser kita arahkan ke alamat tersebut..
tadaaa..... ternyata itu page control panel..yesss. asskyyy (dedex caem mode on) :D
Hajar bleh... isi field LOGIN dengan "admin" (tanpa tanda petik) dan field "PASSWORD" isi dengan 'or''=' kemudian Submit.
Oppss..muncul alert "SINGLE QUOTE (') NOT ALLOWED" , ini artinya kita tidak boleh menggunakan Tanda petik Tunggal dalam melakukan Login, baik itu di field LOGIN maupun PASSWORD, padahal justru tanda tersebutlah yang akan kita gunakan untuk inject. >,< Apakah sampai disini kita dianggap gagal dalam melakukan hacking? oooo..tidakk..bissaaaa..... *sule mode on :D
Disinilah inti utama dari artikel ini,disaat kita mengalami suatu kendala bukan berarti kita harus menyudahi usaha kita, karena kita harus tetap berusaha mencari jalan lain untuk mencapai tujuan. INTINYA JANGAN PERNAH MENYERAH DALAM MELAKUKAN SUATU USAHA .
Ada beberapa cara untuk mengatasi masalah di atas, yang pertama dengan menonaktifkan javascript dari browser,tetapi ini sangat tidak bijak, karena kita masih membutuhkan javascript dalam melakukan login di halaman tersebut. Kok tau..??? ya iyalah... kan saya udah ngintip, hehhe.... nggak ding... karena memang suatu filter input di submit page membutuhkan script, jadi jangan dimatiin ya..
Kita gunakan cara ke dua, yakni OFFLINE HACKING . Gimana caranya..?
Kita simpan halaman admin login tadi ke local komputer kita. (gak usah dijelasin, udah pada tau caranya :D ). Lalu halaman yang sudah kita simpan kita buka menggunakan software web editor (terserah mau pakai apa saja boleh, kalo saya lebih suka pake FRONTPAGE, lagian cuma itu yang saya punya, hehehe).
Setelah dibuka, kita lihat dibagian javascriptnya, kita akan mencoba memanipulasi bagian ini sehingga tanda Petik tunggal bisa diijinkan sebagai input login.
1. Cari fungsi berikut: function com_check() kemudian rubah value FLAG yang ada di fungsi tersebut dari 1 menjadi 0 ==> flag=0
2. Buang baris berikut: alert("Single quote ( ' ) not allowed.")
3. cari Tag FORM rubah value ACTION.nya menjadi==> http://www.rajputwedding.com/admin/check_home.asp
simpan, dan jalankan. kemudian kita coba melakukan Login, isi field LOGIN dengan: admin dan field PASSWORD dengan: 'or''='
Submit......
Jreeeeennnggggggg.....Taaddaaa..... Welcome to Control Panel Page :D :D
Seperti yang sudah saya sebutkan diatas, ada satu pelajaran yang bisa kita ambil disini, yaitu: JANGAN PERNAH MENYERAH DALAM MELAKUKAN SUATU USAHA
Keep Learning
Namun sebetulnya bukan masalah methode/bug yang akan saya tekankan disini melainkan seberapa gigih usaha kita dalam melakukan kegiatan hacking.
Langsung aja sowan ke rumah si Mbah minta restu serta petunjuknya, dengan menggunakan Kata kunci: allinurl:"/admin.asp"
Setelah diberi petunjuk, langsung saja kita ambil alamat berikut sebagai kelinci percobaan :D ==> http://www.rajputwedding.com/admin/admin.asp
Gak usah pake lama, langsung browser kita arahkan ke alamat tersebut..
tadaaa..... ternyata itu page control panel..yesss. asskyyy (dedex caem mode on) :D
Hajar bleh... isi field LOGIN dengan "admin" (tanpa tanda petik) dan field "PASSWORD" isi dengan 'or''=' kemudian Submit.
Oppss..muncul alert "SINGLE QUOTE (') NOT ALLOWED" , ini artinya kita tidak boleh menggunakan Tanda petik Tunggal dalam melakukan Login, baik itu di field LOGIN maupun PASSWORD, padahal justru tanda tersebutlah yang akan kita gunakan untuk inject. >,< Apakah sampai disini kita dianggap gagal dalam melakukan hacking? oooo..tidakk..bissaaaa..... *sule mode on :D
Disinilah inti utama dari artikel ini,disaat kita mengalami suatu kendala bukan berarti kita harus menyudahi usaha kita, karena kita harus tetap berusaha mencari jalan lain untuk mencapai tujuan. INTINYA JANGAN PERNAH MENYERAH DALAM MELAKUKAN SUATU USAHA .
Ada beberapa cara untuk mengatasi masalah di atas, yang pertama dengan menonaktifkan javascript dari browser,tetapi ini sangat tidak bijak, karena kita masih membutuhkan javascript dalam melakukan login di halaman tersebut. Kok tau..??? ya iyalah... kan saya udah ngintip, hehhe.... nggak ding... karena memang suatu filter input di submit page membutuhkan script, jadi jangan dimatiin ya..
Kita gunakan cara ke dua, yakni OFFLINE HACKING . Gimana caranya..?
Kita simpan halaman admin login tadi ke local komputer kita. (gak usah dijelasin, udah pada tau caranya :D ). Lalu halaman yang sudah kita simpan kita buka menggunakan software web editor (terserah mau pakai apa saja boleh, kalo saya lebih suka pake FRONTPAGE, lagian cuma itu yang saya punya, hehehe).
Setelah dibuka, kita lihat dibagian javascriptnya, kita akan mencoba memanipulasi bagian ini sehingga tanda Petik tunggal bisa diijinkan sebagai input login.
1. Cari fungsi berikut: function com_check() kemudian rubah value FLAG yang ada di fungsi tersebut dari 1 menjadi 0 ==> flag=0
2. Buang baris berikut: alert("Single quote ( ' ) not allowed.")
3. cari Tag FORM rubah value ACTION.nya menjadi==> http://www.rajputwedding.com/admin/check_home.asp
simpan, dan jalankan. kemudian kita coba melakukan Login, isi field LOGIN dengan: admin dan field PASSWORD dengan: 'or''='
Submit......
Jreeeeennnggggggg.....Taaddaaa..... Welcome to Control Panel Page :D :D
Seperti yang sudah saya sebutkan diatas, ada satu pelajaran yang bisa kita ambil disini, yaitu: JANGAN PERNAH MENYERAH DALAM MELAKUKAN SUATU USAHA
Keep Learning
0 komentar:
Posting Komentar