Sobat semua, ini adalah tools untuk scan website apakah vuln ato tidak ??
soo,,,,,langung aja ane kasih tutor bwt semua tanpa pake lama dechhh,,,,,,,
masukkin url target.. misalnya http://www.target.com di sql injector
trus liat debugging window biar tau si program kerjanya ngapain
(menu settings -> show debug window, ato pencet ctrl+w)
bis itu pencet si tombol go
tunggu....
tunggu...
tunggu...
sampe ntar nongol url yg ada tanda seru dibelakangnya -> [!]
misal
code : http://www.target.com/ind/Read/?type=ixReg&id=590&thn=2010&name=PMK_Nomor_239_PMK_011_2009.htm [!]nah brarti itu 90% vuln
kamu boleh stop sekarang ato biarin si program nyari sqli bugs yg lain
klo udah stop.
skarang kmu masukkin yg url ada tanda serunya tadi,
jadi yg http://target.com tadi kamu ganti jadi
code : http://www.target.com/ind/Read/?type=ixReg&id=590&thn=2010&name=PMK_Nomor_239_PMK_011_2009.htmtrus pencet go,
biarin dia nyari...
tunggu..
code :
[ sqli bugs found ! ]
mssql : Microsoft SQL Server 2005 - 9.00.1406.00 (Intel X86)
Mar 3 2007 18:40:02
Copyright (c) 1988-2005 Microsoft Corporation
Enterprise Edition on Windows NT 5.2 (Build 3790: Service Pack 2)
http://www.target.com/ind/Read/?type=ixReg&id=590'/**/AND/**/__TIME__=convert(int,__CODE__)--'&thn=2010&name=PMK_Nomor_239_PMK_011_2009.htmnah itu dia POC nya nongol sekalian.yg __TIME__ itu kamu rubah jadi angka berapa aja,
yg __CODE__ itu tempat kodenya (select bla bla from bla bla)
klo nanti ternyata target vuln, tpi gak nongol db, table ato lain2,
kmu coba stop,restart, kasih url yg tanda seru tadi,
contreng di checkbox blind injection, klik go lagi
mungkin si target = blind sqli
udah versi 0.7
Link download :
http://tools.kerinci.net/download/kerinci-0.7.zip
di versi ini kmu tinggal klik aja
0 komentar:
Posting Komentar