What's new

Sino nag i-SQL Injection dito? ρrø or not pahingi pong ideas, knowledge and tips

ShanksKun

Established
Joined
Apr 11, 2021
Posts
394
Solutions
3
Reaction
809
Pa share po ng knowledge about SQL Injection basic, most basic or advance. Advance thank you po
 

ShanksKun

Established
learn about basic SQL statements. at kung paano mo maeexploit yung queries (looking at the bugs).

"Dapat marunong ka munang mag-ayos bago ka matutong sumira"

para saken, that's how you perform it e.
Salamat po copy paps

And ask lang po. About sa pag iinject, yung ( ' ) lang po ang babasehan para malaman kung pwde ma attack yung site? Ang ginagawa ko kasi pag may makita akong.. ex: id=1
Ay dinudugtungan ko lang ng ( ' ) sa huli at titingnan kung may lalabas na warning at kung wala ay di siya pwde atakihin.
 

L-Prime

Elite
Salamat po copy paps

And ask lang po. About sa pag iinject, yung ( ' ) lang po ang babasehan para malaman kung pwde ma attack yung site? Ang ginagawa ko kasi pag may makita akong.. ex: id=1
Ay dinudugtungan ko lang ng ( ' ) sa huli at titingnan kung may lalabas na warning at kung wala ay di siya pwde atakihin.
** kapag may nagbago sa homepage after placing apostrophe, may possibility na vulnerable ang webiste.

try iba't ibang quotes. (') or (")

wag mo rin minsan kalimutan maglagay ng comment sa dulo para madisregard ang susunod na lines (queries) use (--+-) or (%23) or (--%23-)

hindi ibig sabihin na kung walang warning, hindi siya vulnerable. may instances na naka error_reporting(0); (naka disable yung display ng errors) kaya di mo makita yung warning.
 

ShanksKun

Established
alam mo na ba kung paano gumamit ng google dorks?
Hindi pa po eh. Diko pa rin talaga ma apply yung maghanap ng vulnerable site, also may na encounter akong naka url encode at tinry kong convert, pero wala pa ring nangyari hahaha. Feeling ko kasi ang gagaling na ng mga devs ngayon o ako lang yung di marunong haha
 

L-Prime

Elite
Hindi pa po eh. Diko pa rin talaga ma apply yung maghanap ng vulnerable site, also may na encounter akong naka url encode at tinry kong convert, pero wala pa ring nangyari hahaha. Feeling ko kasi ang gagaling na ng mga devs ngayon o ako lang yung di marunong haha
hahahahahahahaha kaya mo yan.
 

1nn0c3ntv5

Enthusiast
Most likely raw query ginamit niya dito

You do not have permission to view the full content of this post. Log in or register now.
1652958144349.png
 

Attachments

Sobrang rare naman na kasi nung mga systems / apps na pwede gamitan ng SQL injection kasi aware na yung mga tao dito at mostly sa mga modern apps ay gumagamit na ng ORM.

Kung gusto mo talaga makakuha ng data from database ni target, try mo pag-aralan yung MITM (Man in the Middle) kasi mas malaki chance don. :)

Anyways, masaya gawin to, naalala ko dati nung nag SQL Injection ako sa mini Student Voting web app na ginawa sa school namin keked.
 

ShanksKun

Established
ano yun lodicakes
Okay na po pala haha.
Ito po yun
ex.
id=1
pwde rin pala
id=1 order by .....

Kala ko need always ng (') like id=1'
Hahaha minsan di ko na kasi binabasa yung error hahahha

Most likely raw query ginamit niya dito

You do not have permission to view the full content of this post. Log in or register now.View attachment 1945549
häçkbar po gamit ko hahaha. Simpleng injecting lang po hahaha

Sobrang rare naman na kasi nung mga systems / apps na pwede gamitan ng SQL injection kasi aware na yung mga tao dito at mostly sa mga modern apps ay gumagamit na ng ORM.
Katipunero- Yes po, hirap nga ko maghanap ng vulnerable sites haha lalo na di ako marunong mag hanap ng bagong site hahahahaha.

Kung gusto mo talaga makakuha ng data from database ni target, try mo pag-aralan yung MITM (Man in the Middle) kasi mas malaki chance don. :)
Mukhang high lvl na po ata to hahaha pero medyo curious ako nuod nalanh muna ko mga video nito hahahha

Anyways, masaya gawin to, naalala ko dati nung nag SQL Injection ako sa mini Student Voting web app na ginawa sa school namin keked.
Yes po ka enjoy nga po lalo na kung newbie pa talaga. Hahahah.
 
Last edited:

lilTeapot

Established
hindi ka rin makakapag sql injection kahit may vulnerability kagaya ng forms at queries sa website kung may mod_security yung server. Kadalasan ng websites may mod_security na kahit sa cpanel may builtin mod_security function na
 

Punkass

Established
madaming paraan lods ...di rin lahat .. makikita sa tutorial ... wordpress iba gamit doon para ma exploit
 
Top