MSSQL-Injection 'UNION BASED'

Post a Comment

Hii kembali lagi ni, ya langsung saja kali ini gue mau membagikan tutorial gimana sih melakukan SQL-Injection pada Microsoft SQL-Server ya atau yang biasa disebut MSSQL-Injection, Sebenernya hampir tidak jauh beda dengan MySQL-Injection pengen tau gimana step-stepnya? Yuk simak kak.

Disini sudah memiliki contoh target, yang harus dilakukan pertama ialah menghitung jumlah table yang ada pada website, lakukan dengan cara dengan "ORDER BY" sampai ketemu titik error.
The ORDER BY position number 17 is out of range of the number of items in the select list.

Ya sudah ketemu error di angka 17 berarti jumlah table ada 16, Lanjut dengan mengetahui jumlah table yang ada pada website dengan "union select"
Operand type clash: ntext is incompatible with int Operand type clash: ntext is incompatible with int.

Nah loh kok malah muncul error sih, tenang aja kak itu berarti ketidakcocokan NTEXT ke INT sehingga kita harus mengonversi setiap kolom satu per satu dan melihat apakah kita dapat membuatnya berfungsi. Mari kita coba dengan menggunakan null ataupun ''.
Null all columns.

Setelah diganti dengan null maka tidak terjadi error, tapi angka table masih juga tidak muncul kalian bisa menebak satu-persatu atau jika kalian malas bisa menggunakan BurpSuite.

Yaps sudah ketemu 2 matches kata 'paw' berarti angkanya ada di nomor 3, Lets checking

Lets finished kita akan melakukan dios disini.

Gimana? cukup mudah bukan melakukan MSSQL-Injection tidak berbeda jauh dengan MySQL-Injection bukan? Kalian bisa menggunakan dios MSSQL pada SQLi-Labs dibawah.
Oke mungkin cukup sekian tutorial kali ini, Jika tidak bisa di mengerti kalian bisa comment, dont forget too share and see you next time byee~

Related Posts

Post a Comment

Subscribe Our Newsletter