Horee,,,akhirnya bisa ngeblog hasil oprekan warnet lagii…hehehe. Kali ini percobaannya yaitu memanfaatkan settingan IP yang belum di konfigurasi di program billing warnet, Indobilling. Uji coba terhadap vurn ini sendiri telah lama saya lakukan dan dibekali dengan informasi-informasi yang telah lebih dahulu keluar sebagai bahan referensi saya. Pernah dengar MySQL? MySQL merupakan program database layaknya MS Access di Windows. Ada banyak jenis-jenis database di dunia ini, di antaranya SQL Server dan My SQL. Oracle juga ada giitu.. Dan Indobilling menggunakan MySQL sebagai databasenya.

Nah, bagaimana kita memanfaatkan kelemahan ini? Simple.  Pertama, kita harus mengetahui prinsip kerjanya si Indobilling itu. Kedua, kita harus mengerti manipulasi database. Untuk apa? Untuk memulai kenakalan kita doonk.. Ketiga, siap² betah berlama2 di warnet…hehehe. Okay, siapkan peralatan. Pertama, kita harus mengetahui atau berpikir gimana caranya komputer operator memantau aktivitas billing di komputer yang kita pakai. Tentunya, di sini pasti terjadi suatu koneksi.

Okay, keyword pertama, koneksi.  Keyword kedua yaitu nama. Operator akan mengetahui nama (nick) yang kita pakai ketika login. Setelah berhasil login, maka Indobilling akan mengeksekusi sintaks SQL (nanti dijelaskan) yang tujuannya untuk menambah list daftar orang yang sedang terkoneksi ke server (komputer operator). Hmm, sampai di sini saja sudah cukup untuk memulai proses penyerangan.

Okay, koneksi. Bagaimana caranya agar kita bisa melihat koneksi yang ada atau sedang terjadi di jaringan? Gunakan Netstat!

1. Buka CMD (lohh? Bukannya langsung ditutup?)
2. Buka notepad aja dah.
3. Tulis script batch di bawah ini.
Netstat >> C:netstat.txt
4. Simpan dengan nama buka.bat
5. Jalankan buka.bat.
6. Buka file C:netstat.txt. Jika drive C dikunci, ke flash disk juga bisa gitu.
7. Lantas, akan terlihat spt ini.

****************beberapa bagian dipotong*******************
TCP 192.168.10.16:49565 192.168.10.1:3306 ESTABLISHED

8. Nah, nomor port 3306 itu adalah nomor port milik MySQL.
9. Cari dan buka program yang dikhususkan untuk SQL. Cari di google banyak.
10. Setelah berhasil atau memiliki programnya, saatnya lakukan koneksi ke database yang dipakai Indobilling. username : root. password : root1.
11. Dapet darimana tuh password? Sialnya, Indobillingnya tidak menerapkan enkripsi pada username dan password. Dan dengan mudah bisa diketahui dengan menggunakan program hexa editor.

12. Setelah itu, kita tinggal bisa bersenang² dan bernakal² ria di warnet tersebut. Salah satu percobaan yang saya lakukan yaitu menambahkan 1 buah record baru ke dalam table database si warnet / Indobilling dengan menggunakan sintaks insert into. Record tersebut isinya “minta kenalan” untuk usernamenya, passwordnya “terserah aja”, dan sejumlah data2 lainnya yang males saya tulis.

13. Hal yang lebih fatal yaitu kita bisa memodifikasi sudah brp banyak / lama kita main warnet. Hal ini sangat bisa dilakukan dengan menggunakan sintaks update…set.

14. Contohnya: update table set starttime = concat(curdate(),”,curtime(),nick=’rein’) where uid = ‘01′
15. Sintaks nomor 14 hanyalah contoh saja. Saya tidak ingin menuliskan sintaks yang benar² saya pakai sewaktu eksperimen. Hasil dari sintaks tersebut yaitu walaupun saya telah login selama 8 jam, ketika saya update databasenya menggunakan sintaks tersebut, maka total pembayaran saya menjadi 1500 dan total lama nya menjadi < 1 menit. Hehehehe….

Okay,,sampai jumpaa di artikel kapan2 lagi ya…hahaha.
Influenced by : invisible_theatre

-sky73rx3 a.k.a sky73rx7-