Hack Indobilling All Version (Client Side, Final)

Pada Sunday, 21 November, 2010 Jam 10:28 Di Tulis Oleh Istanto Adi Nugroho
Artikel dalam kategori dodol, Iseng
1 Star2 Stars3 Stars4 Stars5 Stars (2 votes, average: 1.00 out of 5)
Loading ... Loading ...

Yup, seperti judulnya ini adalah artikel final tentang indobilling di blog yang super goblog ini. Setelah artikel ini diusahakan tidak akan ada lagi artikel tentang indobilling kecuali terpaksa karena kasihan sama developernya indobilling pak Sumintar. Artikel ini atas permintaan mahluk ini jadi buat yang merasa dirugikan dan lain sebagainya silahkan ngamuk-ngamuk  ke mahluk itu hehe…

Apa itu indobilling dan bagaimana indobilling bekerja? Indobilling adalah software yang dikhususkan untuk penghitungan, aplikasinya sangat luas bisa untuk warnet, rental, kantor, rumah sakit, toko, dan lain sebagainya yang membutuhkan software billing untuk penghitungan. Database indobilling tersimpan didalam sql yang mana database ini mungkin kurang familiar dengan orang awam sehingga banyak yang menganggap software indobilling ini aman dan sempurna.

Sesungguhnya tidak ada yang aman dan sempurna di dunia ini, segala sesuatu memiliki risiko dan gain. Tinggal bagaimana manusia itu memanajemen untuk meminimalisir risiko dan meningkatkan gain. Begitu juga indobilling, indobilling ini memiliki beberapa vulnerabilitas yang bila di eksploitasi mungkin bisa merugikan pihak-pihak tertentu namun bisa juga kita meminimalkan risiko vulnerabiliti ini dengan cara tertentu.

Langsung saja ya, DO IT AT YOUR OWN RISK!

1. TEMUKAN DATABASE SERVER INDOBILLING.

Gunakan perintah netstat pada command prompt, kalau command prompt di autokill oleh indobilling buatlah sebuah file dengan ekstensi .bat dengan isi seperti berikut:

netstat >> netstat.txt
open netstat.txt

Perintah ini akan melakukan perintah netstat seperti biasa dan menyimpannya kedalam file netstat.txt kemudian carilah IP address yang open port 3306 ini adalah port default SQL sehingga dapat dipastikan jika ada IP address didalam local area network membuka port 3306 disitulah letak indobilling server berada.

2. TEMUKAN USERNAME DAN PASSWORD SQL.

Langkah ini agak sedikit berat dan susah. Setiap versi indobilling menggunakan username dan password yang berbeda-beda. Wah, kalau beda bagaimana cara menemukan username dan password itu? tanya saja sama mbahmu… :D bercanda. Caranya mudah saja kok ini cuma script kiddies, file billserver.exe itu di kompres dengan UPX. Apa itu UPX? Lho kok tau kalau di kompres dengan UPX? ya iyalah saya iseng scan dengan antivirus lalu ketahuan deh ternyata di kompres dengan UPX. Jadi langkah selanjutnya…

Download UPX lalu gunakan perintah pada command prompt upx -d blablabla.exe untuk melakukan dekompresi.

Download WINHEX lalu buka file yang tadi sudah kita dekompresi dengan UPX. Tugas kita disini adalah menemukan username dan password sql yang tersimpan didalam file indobilling server. Default username sql adalah “root” jadi langsung saja kalian search dengan kata kunci “root” contohnya;

Disitu terlihat jelas ada 2 ASCII code yang terbaca root dan root001 apakah ini kombinasi username dan password sql? mari kita buktikan.

3. MENCOBA KONEKSI MENUJU SQL SERVER.

Seperti biasa mainan lokal untuk sql silahkan download SQLYOG. Setelah itu install deh seperti biasa. Pada langkah sebelumnya kita mendapatkan 2 ASCII yang merupakan kobinasi root dan root001, karena default username sql adalah root maka tidak mungkin root001 adalah username. Jadi kita asumsikan:

username = root , password = root001

Mari kita buktikan, buat koneksi sql menuju host yang dituju dengan memasukkan username dan password.

BINGO! inilah jawaban dari pertanyaan banyak orang bagaimana saya bisa mengetahui username dan password sql dari setiap versi indobilling.

4. TERHUBUNG KE SQL SERVER.

Sekarang saatnya benar-benar menguasai database server. Setelah terhubung dengan database server disini kita sudah memiliki akses seperti administrator yang mengkonfigurasi billing. Apa yang bisa kita lakukan? membuat member baru, merubah konfigurasi, merubah harga paket, dan lain sebagainya yang konotasinya NEGATIF (tidak saya anjurkan).

Sampai disini sebenarnya pertanyaan orang-orang itu sudah terjawab namun untuk penggunaan dalam kehidupan nyata saya tidak mau bertanggung jawab itu adalah risiko pribadi masing-masing. Disini saya hanya share sedikit pengetahuan.

Langkah preventif apa saja yang administrator bisa lakukan untuk mengatasi vulnerability ini? sebenarnya ada 2 atau lebih cara yaitu:

  1. Rubahlah attributes sql anda menjadi read only. Ini adalah cara termudah untuk menghindari edit tanpa authorisasi caranya? mudah kok, sama seperti merubah attributes file biasa. Misalnya saya ingin tabel member tidak dapat dirubah maka buatlah seperti ini pada file member, member.myi dan member.myd (kalau misalnya ingin add member baru tinggal dikembalikan lagi seperti semua) :
  2. Menggunakan remote mysql. Cara ini lebih aman namun akan lebih susah pada waktu implementasi jadi silahkan anda belajar sendiri  saya malas nulisnya hehe…

Sekian, Salam Gobloooooooooooooooooog *motto baru*

Kata Kunci Terkait:

Kamu boleh memberikan komentar, atau melakukan trackback dari blog kamu.
    Digg Del.icio.us StumbleUpon Reddit Twitter RSS

6 Komentar pada artikel “Hack Indobilling All Version (Client Side, Final)”

  1. hiday88 berkata:

    Pada December 2nd, 2010 Jam 1:38 PM

    req wat bex f8 dunk mas!!! oya mas diluar pembahasan nih. ada g ya software buat bikin posting offline, trs tinggal copas ke blog!!!makasih

    [Balas]

  2. Mr. Faza berkata:

    Pada January 12th, 2011 Jam 7:20 PM

    Mas saya ingin bertanya. Bagaimana caranya jika saya melakukan hacking terhadap indo billing itu dilakukan melalui client di suatu warnet? cos untuk billing explore aku nyoba pas bisa dihack billing explore, meskipun itu menggunakan software tertentu.
    Mohon penjelasannya.

    Terima kasih.

    [Balas]



    asolole berkata:
    Pada January 19th, 2012 jam 1:50 PM


    asolole

    [Balas]


  3. bejo berkata:

    Pada February 2nd, 2012 Jam 8:30 PM

    mas q mau nanya.caranya membuka client indobilling yang tidak berhubung dengan server gimana mas….mohon jawabanya mas….

    [Balas]



    Istanto Adi Nugroho berkata:
    Pada February 2nd, 2012 jam 9:12 PM


    alt+q

    [Balas]


  4. Agung Setiyawan berkata:

    Pada June 20th, 2012 Jam 3:47 AM

    Caranya susah baget untuk orang awam seperti saya. Tapi makasih lah ilmunya, :)

    [Balas]

Berikan Komentar

[+] yoyocici emoticons