HACKING PHPADMIN MYSQL
Yang pertama kita lakukan setelah semua kebutuhan terpenuhi yaitu, kita musti cari target dahulu, pertama coba lakukan pencarian target dengan bantuan paman Google, Dork yang kita gunakan adalah Inurl:/xampp/lang.php? & bisa juga kita variasi untuk ke suatu Negara tertentu saja.
Setelah melakukan pencarian coba aja kita cari target, kali ini gwa kasih contoh targetnya adalah..
http://racewarz.org/xampp/lang.php?it
Kita lihat diatas adalah tampilan dari phpmyadmin dari site http://racewarz.org/
Nah kalo udah dsana ada Tulisan phpmyadmin, coba loe buka apakah bisa kita akses secara langsung atokah harus make login, ternyata gak perlu login kita dah bisa masuk kedalam phpmyadmin yang bentuknya kurang lebih seperti gambar di bawah ini
Setelah kita masuk phpmyadmin kita buka Querywindow yang di wakili ama icon kotak bertuliskan SQL. Dan akan muncul popup seperti berikut
Dalam popup itu kita bisa inject perintah2 SQL, nah disini silahkan kalian masukan code seperti ini :
SELECT “script shell hasil encode” INTO OUTFILE ‘lokasi DOCUMENT_ROOT(htdocs)‘
Ket:
Lokasi htdocs : lokasi dimana isi dari semua site tersimpan cara untuk mengetahuinya yaitu dengan cara membuka halaman phpinfo
http://www.racewarz.org/xampp/phpinfo.php ato bisa juga klik tulisan phpinfo() pada tampilan phpmyadmin, yang hasilnya kurang lebih seperti ini
Nah kalo udah hasil script yang kita masukan kedalam Query window adalah sebagai berikut:
SELECT INTO “isi script shell” INTO OUTFILE ‘C:/xampp/htdocs/hc.php’
Penjelasan:
Isi script shell gak gw tulis soalnya terlalu banyak
Nah dsana ada c:/xampp/htdocs dimana itu adalah lokasi DOCUMENT_ROOT ato lokasi file2 web di simpan,
Dan hc.php adalah nama file dari shell yang gw tanam.
Kalo udah tekan tombol GO
Dan kita tunggu sesaat sampe proses dari phpmyadmin selesai kalo udah semua prosesnya, kita bakalan lead hasilnya
Di http://www.racewarz.org/hc.php dan hasilnya adalah seperti gambar di bawah
Shell windows dah di tanggan, untuk command2 yang di pake berbeda dengan shell Linux, command yang akan kita pakai yaitu command yang sama seperti kita gunain CMD ato Ms Dos.
kalo ada yang belum mengerti...silahkan kirim email ke g_ipang@yahoo.co.id atau pv nick NIKO di #klorovers allnetwork.
0 komentar:
Posting Komentar