Berawal dari SQL Injection berakhir dengan privileges escalation ispconfig - Printable Version +- Indonesian Back|Track Team (https://www.indonesianbacktrack.or.id/forum) +-- Forum: Defensive Zone (https://www.indonesianbacktrack.or.id/forum/forum-173.html) +--- Forum: Hardening (https://www.indonesianbacktrack.or.id/forum/forum-189.html) +--- Thread: Berawal dari SQL Injection berakhir dengan privileges escalation ispconfig (/thread-4882.html) |
Berawal dari SQL Injection berakhir dengan privileges escalation ispconfig - Junior Riau - 08-05-2013 assalamualaikum wr wb kembali lagi dengan saya admin white hat NO PROTES =)) nah kali ini mau share betapa bahaya nya system enkripsi yang diterapkan oleh ispconfig. anggap saja saya mendapatkan bug sql injection pada sebuah site aaaa.com kemudian melakukan attacking, hingga berhasil mengupload backdoor mencari file config dan berinteraksi dengan database system hingga terjadi seperti ini dari hasil itu dapat kita simpulkan betapa bahayanya level akses dan user yang kita gunakan untuk config web kita yang hanya membutuhkan sebuah database tapi memberi kan level akses ke semua database pada sistem it's too harmfull berawal dari eksplorasi database per database table per table searching informasi tentang ispconfig dan sistem nya hingga menemukan bagaimana cara mendapatkan akses adminnya hingga menjadi seperti ini kemudian mendalami sehingga memiliki level account yang sama yaitu seperti ini betapa bahayanya level user pada config sebuah web yang digunakan beserta privileges dari user tersebut ingat jangan memberikan level privileges lebih jika tidak digunakan sesuai kebutuhan sedikit info setelah googling mengenai sistem ispconfig yang "hanya" menggunakan encrypt "crypt" katanya namun bisa juga diganti dengan kata lain reset dengan md5 "" sehingga saya pun bisa mendapatkan level admin tertinggi dan buat user dengan level admin tertinggi pada gambar 3 jadi, sedikit pelajaran buat kita para sysadmin server dan web administrator use the right way privileges regards junio.riau18 a.k.a little dragon RE: Berawal dari SQL Injection berakhir dengan privileges escalation ispconfig - orang sederhana - 08-05-2013 (08-05-2013, 11:41 PM)junior.riau18 Wrote: assalamualaikum wr wb mantabb om , kayaknya udh jadi white hat nih asikkk dah pelajarin ah pelan pelan . THR nya bagi bagi uang ya om juni =)) RE: Berawal dari SQL Injection berakhir dengan privileges escalation ispconfig - C.S - 08-06-2013 waahh ini bisa jadi pelajaran berharga.. thanks white hat RE: Berawal dari SQL Injection berakhir dengan privileges escalation ispconfig - Junior Riau - 08-06-2013 haha welcome ^_^ buat pelajaran bagi kita semua RE: Berawal dari SQL Injection berakhir dengan privileges escalation ispconfig - ekawithoutyou - 08-06-2013 =)) ane nimbrung aja dah RE: Berawal dari SQL Injection berakhir dengan privileges escalation ispconfig - Kresna - 08-07-2013 waduhh.. berawal dari bug old school :o RE: Berawal dari SQL Injection berakhir dengan privileges escalation ispconfig - zee eichel - 08-07-2013 Kadang sesuatu yang di anggap sepele akan menghasilkan kehancuran RE: Berawal dari SQL Injection berakhir dengan privileges escalation ispconfig - devilnay - 08-07-2013 ini kejadian yang ane alami tapi bukan dibantu dengan tools. dibantu oleh logica sedikit dan alhasil full server dapetnya. itu dulu RE: Berawal dari SQL Injection berakhir dengan privileges escalation ispconfig - rahmadkur1 - 08-07-2013 thanks infonya om white hat karena kelalaian hal kecil juga akan membuat masalah yang besar hihi RE: Berawal dari SQL Injection berakhir dengan privileges escalation ispconfig - Junior Riau - 08-07-2013 yuhu bener om zee,rahmad, and doctorol, wuidih om depilnay pernah jga, wakak ini uda sering ane peringati tapi g digubris, ya udah ane explorasi sampe database, ternyata config user mysql level root, ya ketemu de dbispconfig wakakaka apalagi kan?? |