> > > >


[Ask] SQL Injection , Need Help
Carolus Offline
Beginner
10 - 60
#1
01-12-2015, 12:11 AM
Biasanya kita melakukan SQL Injection pada site yang mempunyai struktur URL http://web.com/index.php?id=1 atau sejenisnya. Ini tadi saya coba melakukan SQL Injection pada site yang struktur URL-nya http://web.com/judulartikel.html.
Dan ternyata bisa juga dilakukan SQL Injection pada site dengan struktur URL tersebut.

Pertama, ini tampilan site awal.
Spoiler! :
[Image: 1_Normal_Site.png]


Kemudian saya mencoba melakukan checking vuln atau tidak seperti biasa, menggunakan tanda ( ' ). Dan ternyata didapatkan error.
Spoiler! :
[Image: 2_Cek_Vuln.png]


Kemudian saya melakukan perintah "order by".
Pada saat order by 25, tidak terjadi error.
Spoiler! :
[Image: 3_Number_table1.png]

Pada saat order by 26, terjadi error.
Spoiler! :
[Image: 4_Number_table2.png]

Sehingga kita tahu bahwa jumlah tablenya 25.

Kemudian saya melakukan union select untuk mencari magic numbernya. Tetapi yang keluar malah error.
Spoiler! :
[Image: 5_Get_Magic_Number_still_error.png]


Sehingga saya masih sampai di situ saja. Belum bisa eksplore lagi. Mungkin ada masukkan atau tambahan dari member IBT di sini?
(This post was last modified: 01-12-2015, 12:18 AM by abdilahrf.)  
Find
Reply

wine trochanter Offline
Coder
141 - 929
#2
01-12-2015, 01:18 PM
(01-12-2015, 12:11 AM)Carolus Wrote: Biasanya kita melakukan SQL Injection pada site yang mempunyai struktur URL http://web.com/index.php?id=1 atau sejenisnya. Ini tadi saya coba melakukan SQL Injection pada site yang struktur URL-nya http://web.com/judulartikel.html.
Dan ternyata bisa juga dilakukan SQL Injection pada site dengan struktur URL tersebut.

Pertama, ini tampilan site awal.
Spoiler! :
[Image: 1_Normal_Site.png]


Kemudian saya mencoba melakukan checking vuln atau tidak seperti biasa, menggunakan tanda ( ' ). Dan ternyata didapatkan error.
Spoiler! :
[Image: 2_Cek_Vuln.png]


Kemudian saya melakukan perintah "order by".
Pada saat order by 25, tidak terjadi error.
Spoiler! :
[Image: 3_Number_table1.png]

Pada saat order by 26, terjadi error.
Spoiler! :
[Image: 4_Number_table2.png]

Sehingga kita tahu bahwa jumlah tablenya 25.

Kemudian saya melakukan union select untuk mencari magic numbernya. Tetapi yang keluar malah error.
Spoiler! :
[Image: 5_Get_Magic_Number_still_error.png]


Sehingga saya masih sampai di situ saja. Belum bisa eksplore lagi. Mungkin ada masukkan atau tambahan dari member IBT di sini?

div 0 /*!50000union+select*/ bla bla --+
atau bisa gnti unUNION/*&a=*/SELECTion/*&a=*/select

kalo mau lagi cari dsni trit tampan Big Grin
https://indonesianbacktrack.or.id/forum/...-5699.html
ada kodok teroret teroret dipinggir kali terorret teroret mencari makan teroret teroret setiap pagi teroret teroret

visit: http://warungiso.blogspot.com/

I was not smart or special but I was unix
 
Find
Reply

Carolus Offline
Beginner
10 - 60
#3
01-12-2015, 05:13 PM
Masih error om. Error yg sama.
(This post was last modified: 01-15-2015, 07:28 PM by Carolus.)  
Find
Reply

wine trochanter Offline
Coder
141 - 929
#4
01-12-2015, 06:45 PM
(01-12-2015, 05:13 PM)Carolus Wrote: Masih error om. Error yg sama.
http://s16.postimg.org/vvqkszc11/Screens..._07_42.png

baca lagi om cheat nya, itu bypass 403 gk cuma 1 cara hihiih
ubek2 dlu sqli nya, dah byk kok yg share om
btw target nya di sensor dong
ada kodok teroret teroret dipinggir kali terorret teroret mencari makan teroret teroret setiap pagi teroret teroret

visit: http://warungiso.blogspot.com/

I was not smart or special but I was unix
 
Find
Reply

Carolus Offline
Beginner
10 - 60
#5
01-15-2015, 07:35 PM
(01-12-2015, 06:45 PM)wine trochanter Wrote:
(01-12-2015, 05:13 PM)Carolus Wrote: Masih error om. Error yg sama.

baca lagi om cheat nya, itu bypass 403 gk cuma 1 cara hihiih
ubek2 dlu sqli nya, dah byk kok yg share om
btw target nya di sensor dong

Oke. Tapi saya gatau cara gunain cheat sheetnya. Big Grin
maaf om, lewat hp ga bisa sensor. udah saya hapus gambarnya.
(This post was last modified: 01-15-2015, 07:39 PM by Carolus.)  
Find
Reply

iKONspirasi Offline
Sysadmin
56 - 2,544
#6
01-21-2015, 05:37 AM
(01-15-2015, 07:35 PM)Carolus Wrote:
(01-12-2015, 06:45 PM)wine trochanter Wrote:
(01-12-2015, 05:13 PM)Carolus Wrote: Masih error om. Error yg sama.

baca lagi om cheat nya, itu bypass 403 gk cuma 1 cara hihiih
ubek2 dlu sqli nya, dah byk kok yg share om
btw target nya di sensor dong

Oke. Tapi saya gatau cara gunain cheat sheetnya. Big Grin
maaf om, lewat hp ga bisa sensor. udah saya hapus gambarnya.

itu sepertinya ada waf (web app firewall) nya, coba ganti2 saja hurufnya, misal spasi jadi %
benar kata om wine, coba cheat sheetnya, intinya tinggal mengganti2 perintah sqli yang tidak bisa dibaca oleh waf
I'm @ikonspirasi - Facebook
Personal blog: http://ikonspirasi.net
 
Website Find
Reply

Marcel Johanes Louis Offline

0 - 6
#7
03-14-2015, 01:04 PM
knp ga di scan sqlinject di BT aja oms kalo udah dapet error kya gitu ??

itu teknik jadul betull tapi masih efektif juga ya .. hahahaaha
 
Find
Reply

Carolus Offline
Beginner
10 - 60
#8
03-14-2015, 10:57 PM
(03-14-2015, 01:04 PM)Marcel Johanes Louis Wrote: knp ga di scan  sqlinject di BT aja oms kalo udah dapet error kya gitu ??

itu teknik jadul betull tapi masih efektif juga ya .. hahahaaha

SQLMap maksudnya?
emang kalo pake SQLMap, commandnya gimana kalo sitenya tidak berbentuk seperti misalnya"id=1" ??
 
Find
Reply






Users browsing this thread: 1 Guest(s)