Memecahkan permasalah SQL injection yang sering kita alami part 1
hai
kembali lagi dengan saya seorang yang tampan ea :), yap seperti judulnya, kita akan membahas sebuah penyelesaian terhadap masalah masalah yang saat kita alami saat SQL injection, entah itu karna programmer nya yang terlalu cerdik atau kita nya aja terlalu rajin, yang padahal kita tau itu bukan berhadapan lagi dengan waff ataupun block lainnya, terkecuali programmer nya sendiri mengkotak Katik nya wkwkwkwk :)
okeh, tanpa basa basi lagi nih ya kita mulai pembahasannya
desclaimer!!
tidak disalah gunakan, gunakan etika saat melakukan penetrasi :), penulis tidak akan pernah bertanggung jawab apa yang anda lakukan ketika anda memang benar benar bersalah!!!
okeh disini saya telah menyiapkan target nya klik disini silahkan dibuka
okeh disini saya membuka web nya menggunakan hackbar saya ya....
seperti gambar yang ada diatas ini, saya sudah membuka web nya, lalu kalian cari saja parameternya, disini saya tidak akan memberitahukan cara mencari parameternya ya... karna, kalian sudah menjelajahi website nya saja sudah pasti menemukan parameternya hehehe :)
okeh disini saya telah mendapatkan parameternya :)
dan seperti biasa kita inject web nya menggunakan kutip satu (')
dan seperti gambar diatas, web tersebut error, yang dimana web itu masih vuln terhadap SQL injection, okeh lanjut mungkin saya gak akan terlalu detail ya tentang SQL injection, karna Telah dijelaskan di konten sebelumnya
setelah tadi kita kasih tanda kutip, lalu dibelakang kutip satu kita kasih "order by 1--+-"
okeh seperti gambar diatas web tersebut kembali seperti semula
dan waktunya kita mencari berapa kolom eror nya
- contoh:
- order by 1--+-
- order by 2--+-
- order by 3--+-
- seterusnya hingga eror kembali web nya
seperti gambar diatas, web nya eror di angka 13
lalu kita union select, karna web nya eror di angka 13, maka kita pilih saja sampai 12 angka, contoh "union select 1,2,3,4,5,6,7,8,9,10,11,12--+-"
kok gak ada ya angka ajaib nya hmhm apa kita kasih (-) didepan param, seperti ini http://bdp.gov.bd/page.php?id=-75' union select 1,2,3,4,5,6,7,8,9,10,11,12--+- coba kita jalankan lagi web nya
yah, web nya malah eror kayak yang tadi awal, tapi jangan patah semangat dulu....., coba sekarang kita pake Polygon nya, ya Polygon seterah kalian, boleh and mod(9,9) atau yang lainnya, tapi saya disini menggunakan and mod(9,9), dan untuk tanda (-) nya silahkan dihapus ya
yap web nya eror lagi wkwkwk tapi jangan patah semangat dong... :), waktu saya mengerjakan ini web juga.... ya sedikit membingungkan sih.... soalnya dia yang bermasalah itu bukan di waff atau apa lah semacam nya, tapi pas saya liat lagi dan saya coba terus pernyataan union nya itu, dan Yap memang kita salah menggunakan pernyataan union yang diatas itu, dan sekarang kita hapus angkanya saja union nya jangan wkwkwk, dan sekarang kita memakai pernyataan union (4×methode) dan untuk pernyataan union 4×methode itu... kita hanya membutuhkan angka 1 sebanyak 3 kali dan angka sebenernya di paling belakang, contoh 1111,1112,1113 dan seterusnya, lalu bagaimana untuk angka puluhan bahkan ratusan, tenang gak usah khawatir kita akan buat contoh nya, contoh 11120,11121,11123,11124 dan Yap kenapa saya menggunakan angka 20 puluhan, supaya bisa kita bedakan ya, dan untuk ratusan, contoh 111200,111201,111202 sip okeh paham ya, okeh lanjut saja
angka nya gak muncul juga... hmhm coba sekarang kita kasih tanda (-) didepan parameternya, kaya tadi, dan tidak perlu menggunakan polygon
dan ya... angka ajaib nya muncul juga wkwkwk, dan waktu nya kita dump database nya mwehehehe 😂, dan untuk Dios... bisa kalian ambil sendiri saja ya.... dikonten sebelumnya, karna dikonten ini hanya membahas permasalahannya saja, cukup sekian dari saya assalamualaikum wr.wb
ingin mengenal saya lebih dekat, silahkan klik ini :)
Belum ada Komentar untuk "Memecahkan permasalah SQL injection yang sering kita alami part 1"
Posting Komentar