Thursday, April 2, 2020
Yow Halo Exploiter Kali Ini Kita Main Inject2 Lagi, DVWA SQLI Level High.
oke kali ini kita akan meningkatkan lv kesulitannya ke high. langsung aja. bahan – bahan
DVWA yang udah di set ke HIGH Level
Oke langsung buka aja webnya
tampilan kalau dibuka
cek level keamanannya
oke sekarang eksekusi
sekarang kita test masukkan angka 2 ( sebenernya terserah mau dikasih angka berapa )
oke sekarang kita coba tambahkan ballance petik satu ( ' ) jadinya 2'
hmmm.. error . sekarang kita coba comment dengan –+-2'--+-
tetep error. sekarang kita coba ganti commentingnya pakai kress atau tanda pagar ( # )2'#
oke sip ketemu. sekarang lakukan order by. ( dari pengalam gw kalau model errornya udah beda biasanya nggak bisa pakai group by yang langsung banyak jadi harus test satu satu).2' order by 1#
normal
sekarang test lagi2' order by 2#
normal
test lagi2' order by 3#
error
oke dari percobaan diatas ditemukan error waktu order by 3 jadi kemungkinan site ini cuman punya 2 kolom. sekarang lakukan union select untuk memunculkan mejik numbernya.2' and false union select 1,2#
oke sekarang muncul angka 1 di First name dan angka 2 di Surname. sekarang kita coba inject query version() ke salah satu angka diatas.2' and false union select version(),2#
sip muncul versinya berarti injeksi sukses.
Gr33tz : 0x65