به انجمن خوش آمدید

شما به عنوان یوزر میهمان وارد شده اید. جهت استفاده از تمامی امکانات لطقا وارد حساب کاربری خود شوید.

1 ارسال در این موضوع قرار دارد

<<به نام خدا>>

سلام بر تمامی افراد تیم امنیتی vortex-team  امروز به  5 باپس اصلی باگ SQL-injection می پردازیم  با ما همراه با شید==>>  :

باپس اول برای زمانی  که سایت  وقتی  دستور order+by میزنیم و سایت صفحش لود میشه و ما نمی تونیم  ستون های آسیب پذیر رو پیدابکنیم به کار میره؛ و بایپس دوم برای زمانی که وب سایت نمیزاره شما دستورات  union+select رو بزنید و گویا فایر وال  جلوی شما رو گرفته و با یه بایپس ساده مشکل شما حل میشود و بایپس های  دیگه تقربان ادامه همین بایپس ها است .

1:توبایپس اول  مثال پایین بعد از دوتا دش آخر به اونا یه + اضافه و بعد از داده عددی که 5 است یه تک کوتیشن اضافه میکنیم.

 

Please login or register to see this link.

   

 

2:توبایپس 2 بعد از هر دستور یه 50000*!/ استفاده می کنیم و بعدش در آخر دستور /* دستور بایپسو می بندیم.

 

Please login or register to see this link.

 

3:بایپس سوم خیلی کاربرد داره برای اینکه زمانی اگر ادمین بعضی از دستوراتو  ببنده ما باید بعضی از دستورات مانند group_concat(table_name)l ماباید اول دستور رو به کدhex وبعد Unhex استفاده میکنیم تا بعد از ورود به دیتابیس اطلاعات به صورت عادی برای ما نمایش داده شوند.

 

Please login or register to see this link.

 

4: تواین باپس باید در هر دستور یکی از حروف دستور به شکل حروف بزرگ انگلیسی نوشته شود مانند uNion#frOm#grOup#coNcat# و بقیه دستورات.

 

5:در بعضی از مواقع باید در آخرین دستور که نام دیتابیس یا همان database()l قرار دارد آن دستورات رو به شکل هکس در بیاریم یه چنتایی سایت هست که این کار هارو انجام میدن مانند:

 

1:

Please login or register to see this link.

 

2:

Please login or register to see this link.

 

3:

Please login or register to see this link.

 

و در آخر باید به این شکل کد زده بشه: یه نکته زمانی که شما هکس را وارد میکنید باید یه 0x هم بزنید بعد اون کد هکس شده خودتون😀

from+information_Schema.columns+where+table_name=0x64617461626173652829-- && +from+information_Schema.columns+where+table_name=hex

 

امیدوارم این آموزش برای شما عزیزان  مفید واقع شده باشه.

 

<<با سپاس>>

به اشتراک گذاری این ارسال


لینک به ارسال
به اشتراک گذاری در سایت های دیگر

برای ارسال دیدگاه یک حساب کاربری ایجاد کنید یا وارد حساب خود شوید

برای اینکه بتوانید دیدگاهی ارسال کنید نیاز دارید که کاربر سایت شوید

ایجاد یک حساب کاربری

برای حساب کاربری جدید در سایت ما ثبت نام کنید. عضویت خیلی ساده است !

ثبت نام یک حساب کاربری جدید

ورود به حساب کاربری

دارای حساب کاربری هستید؟ از اینجا وارد شوید

ورود به حساب کاربری