tutorial sebelumnya yang saya tulis yaitu Hacking CMS eticket dengan memanipulasi
source html untuk serangan SQL Injection tapi fokus bahasannya di tutorial tersebut
adalah pada source htmlnya yang dapat dimanipulasi untuk membantu melakukan
serangan SQL Injection. Untuk menambah materi belajar maka penulis buat tutorial ini.
Untuk tulisan-tulisan penulis yang lainnya berhubungan dengan SQL Injection dapat
dicari di blog ini seperti contoh SQL Injection di plugin wordpress, dalam konteks ini
karena kasusnya beda maka tekniknya juga beda.
Disini penulis mengambil contoh CMS Acute Control Panel 1.0 yang bug ini ditemukan
oleh SirGod. Sebelum memulai ini penulis melakukan download CMS ini lalu
menginstallnya, setelah instalasi selesai, penulis masuk di file login.php
dengan admin ‘ or ‘ 1=1 yang dilakukan dengan menggunakan console MySQL untuk
menguji.
username serta passwordnya dalam bentuk hash. Dengan perintah SQL admin ‘ or ‘ 1=1
maka hasil selection akan selalu TRUE.
Jika sudah demikian maka tinggal kita melakukan login saja untuk menguji apakah dapat
masuk ke login web.
Hasilnya adalah
Binggo, masuk ke halaman admin.
Sign up here with your email
ConversionConversion EmoticonEmoticon