-
Hai Sobat.
Saya ikal
Disini, saya akan share cara melakukan SQL Injection POST METHOD
-
disini saya praktekin di android, jadi bahan yang kalian perlukan hanya androhackbar
- target : wingscorp.com
Biasanya untuk mengetahui bahwa website target menggunakan $_POST itu gampang hehe. Contoh website yang harus menggunakan POST METHOD
- saat di beri single quote terjadi forbidden.
- saat melakukan union select terdapat waf, namun semua bypass tidak dapat menembusnya.
- bahkan kalian bisa menembus firewall security dan godaddy security dengan POST METHOD ini kadang-kadang.
Nah contoh nya adalah target saya, saat du beri single quote akan terjadi forbidden
Nah itu baru saya beri single quote namun malah forbidden hehe. Lalu caranya bagaimana? Kita tinggal salin site beserta parameter ke androhackbar dan aktifkan post data dari off ke on. Lalu salin url dari tanda ? Sampai parameter akhir lalu klik execute. Contoh :
http://wingscorp.com/content/story.php
POST DATA : ?l=1&m=257%27
Nah, tidak forbidden melainkan muncul error SQL nya xixi. Lalu kita tinggal menginject nya seperti biasa namun kali ini kita harus menentukan balancing untuk menghilangkan error nya. Next artikel gw bakal buat beberapa balancing SQL injection ya.
Di target kita kali ini, balancing nya adalah tanda # atau bisa juga %23 yang merupakan url encode dari tanda # itu sndiri.
http://wingscorp.com/content/story.php
POST DATA : ?l=1&m=257%27%20%23
Error pun sudah hilang, lanjut kalian langsung lakukan order by saja, contoh :
http://wingscorp.com/content/story.php
POST DATA : ?l=1&m=257%27%20order%20by%201%23
Dan kalian lanjutkan saja sendiri hehe. Karena saya males ngetik panjang-panjang
Untuk yang belum mengerti cara melakukan SQL Injection manual, kalian bisa pergi ke artikel sebelumnya
Thank
See u
