SQL Injection With DroidSQLi No Root

SQL Injection With DroidSQLi No Root



Hy sedulur selamat malam, mumpung ada waktu luang nih kali ini saya akan ngasih tutorial SQL Injection di android menggunakan Apk. DroidSQLi

Bagi yang belum tau SQL Injection itu apa saya akan sedikit menjelasakan.
SQL Injection adalah teknik mengeksploitasi web aplikasi yang di dalamnya menggunakan database untuk penyimpanan data, pada dasarnya teknik ini dapat di lakukan karena tidak adanya penanganan terhadap karakter-karakter tanda petik satu ' dan juga karakter double minus -- yang menyebabkan suatu web/aplikasi dapat disisipi dengan perintah SQL.
Itu adalah pengertian singkatnya jadi SQL Injection adalah salah satu teknik hacking yang sangat populer saat ini.

Ok sekarang tutorialnya.


Siapkan bahan :

Dork berguna untuk mencari target bisa klik disini 

Apk DroidSQLi bisa lu download disini

Admin Panel Finder bisa lu download di Playstore ataupun lu juga bisa menggunakan admin finder online yang sudah banyak tersedia di internet.


Step by Step :

Dorking di google kemudian pilih targetnya.


Nahh sekarang saya sudah mempunyai target.



Untuk mengetahui site tersebut vuln atau tidak, kita bisa menambahkan tanda ' di belakang url. contoh site.com/index.php?id=69 menjadi site.com/index.php?id=69'
atau lebih jelasnya liat gambar.


Kalo vuln biasanya akan muncul tulisan seperti ini.

You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '' at line 1
select * from company where id=

Nah sekarang kita buka Apk DroidSQLi nya, tulis target kalian kemudian klik Inject.


Kalo berhasil maka akan menampilkan database nya. disitu tertulis 
Current DB: Sql421931_3 maka yang akan saya klik adalah kolom nomer 3



Karena yang saya cari adalah username dan password admin, maka saya pilih yang berhubungan dengan admin seperti kolom di bawah



Kita centang data yang sekiranya penting kemudian klik Get Records.


Dan nampak username dan password yang masih ter encrypsi tinggal di hash dahh.


Saya menggunakan bantuan website https://hashkiller.co.uk/md5-decrypter.aspx untuk meng hash kode tersebut dan ternyata berhasil seperti ini.


Sekarang tinggal mencari halaman login adminya, saya menggunakan Apk Admin Panel Finder yang bisa lu download di playstore.
Tulis website nya yang ingin di cari halaman login adminya kemudian klik Submit.



Kalo berhasil maka akan seperti ini tapi jika gagal coba gunakan berbagai tool admin finder untuk mencarinya.



Nah sekarang coba saya login menggunakan username dan password yang sudah saya dapatkan tadi.


Dan ternyata berhasil masuk ke dashboard admin.



Selanjutnya  terserah mau di apakan, bisa tanam shell backdoor, add news ataupun yang lainya sesuai ke inginan.

ok sampai disini tutorialnya, jika ada salah-salah kata mohon di maafkan ya :)
If you like monggo di share kang.

Sekian.
Baca Juga
SHARE
Subscribe to get free updates

Related Posts

2 comments

Post a Comment