.: Website hacking tutorial lengkap

One of the major problems with SQL is its poor security issues surrounding is the login and url strings. Salah satu masalah utama dengan SQL adalah masalah keamanan yang buruk sekitarnya adalah string login dan url.This tutorial is not going to go into detail on why these string work as all these details have been given in my previous article Top 10 Tricks to exploit SQL Server Systems . Tutorial ini tidak akan masuk ke dalam detil tentang mengapa ini bekerja string semua rincian telah diberikan dalam artikel saya sebelumnya Top 10 Trik untuk mengeksploitasi SQL Server Systems . First SEARCH the following Keywords in Google or any Search Engine : admin \login.asp Pertama SEARCH berikut Kata Kunci di Google atau Search Engine : admin \ login.asp
login.asp with these two search string you will have plenty of targets to chose from…choose one that is Vulnerable INJECTION STRINGS: How to use it? login.asp dengan dua search string ini Anda akan memiliki banyak target untuk memilih dari ... memilih satu yang Rentan INJECTION STRINGS: Bagaimana menggunakannya? This is the easiest part…very simple On the login page just enter something like user:admin (you dont even have to put this.) Ini adalah bagian yang termudah ... sangat sederhana Pada halaman login, harap masukkan sesuatu seperti pengguna: (. Anda dont bahkan harus meletakkan ini) admin
pass:' or 1=1– or user:' or 1=1– pass: 'atau 1 = 1 - atau user:' atau 1 = 1 -
admin:' or 1=1– Some sites will have just a password so password:' or 1=1– In fact I have compiled a combo list with strings like this to use on my chosen targets . admin: 'atau 1 = 1 - Beberapa situs hanya akan memiliki password maka sandi:' atau 1 = 1 - Bahkan saya telah mengumpulkan daftar combo dengan string seperti ini untuk digunakan pada target yang saya pilih. There are plenty of strings in the list below. Ada banyak string dalam daftar di bawah ini. There are many other strings involving for instance UNION table access via reading the error pages table structure thus an attack with this method will reveal eventually admin U\P paths. Ada string lain yang melibatkan untuk akses UNI misalnya tabel melalui membaca halaman kesalahan struktur tabel sehingga serangan dengan metode ini akan mengungkapkan akhirnya jalur admin U \ P. The one I am interested in are quick access to targets PROGRAM i tried several programs to use with these search strings and upto now only Ares has peformed well with quite a bit of success with a combo list formatted this way. Yang saya tertarik adalah akses cepat ke i PROGRAM sasaran mencoba beberapa program untuk digunakan dengan string tersebut pencarian dan upto sekarang hanya Ares telah peformed baik dengan cukup sedikit sukses dengan daftar combo diformat dengan cara ini. Yesteday I loaded 40 eastern targets with 18 positive hits in a few minutes how long would it take to go through 40 sites cutting and pasting each string combo example: admin:' or a=a– Yesteday saya dimuat 40 target timur dengan 18 hits positif dalam beberapa menit berapa lama waktu yang dibutuhkan untuk pergi melalui 40 situs memotong dan menyisipkan setiap string contoh combo: admin: 'atau a = a-
admin:' or 1=1– And so on. admin: 'atau 1 = 1 - Dan seterusnya. You don't have to be admin and still can do anything you want. Anda tidak harus admin dan masih bisa melakukan apa pun yang Anda inginkan. The most important part is example:' or 1=1– this is our basic injection string Now the only trudge part is finding targets to exploit. Bagian yang paling penting adalah contoh: 'atau 1 = 1 - ini merupakan dasar injeksi kami string Sekarang bagian yang berangkat hanya menemukan target untuk mengeksploitasi. So I tend to search say google for login.asp or whatever inurl:login.asp Jadi saya cenderung untuk mencari mengatakan google untuk login.asp atau apa pun inurl: login.asp
index of:/admin/login.asp like this: index of login.asp result: http://www3.google.com/search?hl=en&ie=ISO…G=Google+Search 17,000 possible targets trying various searches spews out plent more Now using proxy set in my browser I click through interesting targets. indeks: / admin / login.asp seperti ini: indeks hasil login.asp: http://www3.google.com/search?hl=en&ie=ISO ... G = Google + Search 17,000 target yang mungkin berusaha mencari berbagai spews keluar plent lebih Sekarang menggunakan proxy diatur dalam browser saya saya klik melalui target yang menarik. Seeing whats what on the site pages if interesting I then cut and paste URL as a possible target. Whats Melihat apa yang di halaman situs jika menarik saya kemudian dipotong dan URL paste sebagai target mungkin. After an hour or so you have a list of sites of potential targets like so http://www.somesite.com/login.asp Setelah satu jam atau sehingga Anda memiliki daftar situs target potensial seperti begitu http://www.somesite.com/login.asp
http://www.another.com/admin/login.asp and so on. http://www.another.com/admin/login.asp dan sebagainya.In a couple of hours you can build up quite a list because I don't select all results or spider for log in pages. Dalam beberapa jam anda dapat membangun cukup daftar karena saya tidak memilih semua hasil atau laba-laba untuk login di halaman. I then save the list fire up Ares and enter 1) A Proxy list Saya kemudian menyimpan api daftar Facebook Ares dan masukkan 1) Daftar Proxy
2) My Target IP list 2) Target saya daftar IP
3) My Combo list 3) Saya daftar Combo
4) Start. 4) Mulai. Now I dont want to go into problems with users using Ares..thing is i know it works for me… Sit back and wait. Sekarang saya tidak ingin masuk ke masalah dengan pengguna menggunakan Ares .. hal yang saya tahu bekerja untuk saya ... Duduk dan menunggu. Any target vulnerable will show up in the hits box. Setiap sasaran yang rentan akan muncul di kotak hits. Now when it finds a target it will spew all the strings on that site as vulnerable. Sekarang ketika menemukan target itu akan memuntahkan semua string di situs tersebut sebagai rentan. You have to go through each one on the site by cutting and pasting the string till you find the right one. Anda harus melalui masing-masing di situs tersebut dengan memotong dan menyisipkan string sampai Anda menemukan yang tepat. But the thing is you know you CAN access the site. Tapi masalahnya adalah Anda tahu Anda BISA mengakses situs ini. Really I need a program that will return the hit with a click on url and ignore false outputs. Sungguh, aku membutuhkan sebuah program yang akan kembali memukul dengan klik pada url dan mengabaikan output palsu. I am still looking for it. Saya masih mencarinya.This will saves quite a bit of time going to each site and each string to find its not exploitable. akan Hal ini menghemat cukup sedikit waktu pergi ke setiap lokasi dan setiap string untuk menemukan dieksploitasi untuk tidak. There you go you should have access to your vulnerable target by now Another thing you can use the strings in the urls were user=? Di sana Anda pergi Anda harus memiliki akses untuk menargetkan rentan Anda sekarang Hal lain yang dapat menggunakan string di url adalah user =? edit the url to the = part and paste ' or 1=1– so it becomes user=' or 1=1– just as quick as login process Combo List There are lot of other variations of the Injection String which I cannot put on my thread because that is Illegal. edit url ke bagian = dan paste 'atau 1 1 = - sehingga menjadi user =' atau 1 = 1 - sama cepat seperti Daftar proses login Combo Ada banyak variasi lain dari String Injeksi yang saya tidak dapat memakai saya benang karena itu adalah ilegal.

.

Selasa, 11 Januari 2011

Website hacking tutorial lengkap

Tidak ada komentar:

Posting Komentar

Pengikut

Arsip Blog

Mengenai Saya

search

Daftar isi

visitor