July 2014

Wednesday, July 30, 2014

Error Based/Double Query SQL injection

(or)

The used SELECT statements have a different number of columns error

အမွန္အတိုင္းေျပာရရင္ေတာ့ ကြ်န္ေတာ္ကိုယ္တိုင္ ဒီနည္းကို နားလည္ေအာင္ မရွင္းျပတတ္ပါဘူး..

ဒါေပမယ့္ ညီအစ္ကိုေတြအေနနဲ႔ လက္ေတြလိုက္လုပ္ရင္း နားလည္လာလိမ့္မယ္လို႔ ေမွ်ာ္လင့္ပါတယ္...

ကြ်န္ေတာ္တို့ Site တစ္ခုကို SQL Inject လုပ္တဲ့ခါမွာ ... ယိုေပါက္ရွိ/မရွိ အရင္ဦးဆုံး စစစ္ၾကပါတယ္။

ယိုေပါက္ေတြ႔တဲ့ ဆိုဒ္တစ္ခုကို ေတြ႔တဲ့အခါ Order by ဒါမွမဟုတ္ Group By နဲ႔ Column ဘယ္ေလာက္ ရွိ သလဲဆိုတာ ထပ္စစ္ၾကပါတယ္... Column အေရအတြက္ သိရတဲ့အခါမွာေတာ့ ဘယ္ေနရာမွာ ယိုေပါက္ ျဖစ္ေနလဲဆိုတာကို UNION SELECT နဲ႔စစ္ၾကပါတယ္...အဲဒီအခါမွာ Error ေလးေတြ လာျပ တတ္ပါတယ္... ေတြ႔ၾကဳံရတဲ့ အမ်ားစု Error ေတြကေတာ့

403 Forbidden
Not Acceptable
The use SELECT statements have a different number of columns

တို့ပဲ အမ်ားစု ေတြ႔ရတတ္ပါတယ္.. အဲဒီအထဲကမွ နံပါတ္ ( ၂ ) Error "Not Acceptable "ေက်ာ္နည္း

(တစ္နည္းအားျဖင့္ Bypass လုပ္နည္းကို ကြ်န္ေတာ္ နားလည္သေလာက္ ရွင္းျပခဲ့ၿပီးပါၿပီ။

Sunday, July 27, 2014

Hacker ေတြရွိသင့္တဲ့ Firefox Addon မ်ား

Firefox browser ကို Hacker တိုင္း အသုံးျပဳၾကပါလိမ့္မယ့္...
ဘာေၾကာင့္အသုံးျပဳၾကတာလဲေမးရင္ေတာ့ Firefox browser မွာရွိတဲ့ ရိုးရွင္းလွတဲ့ Design နဲ႔ plug-in ၊ အျပင္ Hacker ေတြအတြက္ အသုံး၀င္လွတဲ့ Addon ေခၚတဲ့ Tools ေတြေၾကာင့္ပါပဲ..

ဒါဆိုဘယ္ Addon ေတြက အသုံး၀င္လည္းဆိုရင္ေတာ့... အမ်ားႀကီးပါပဲ... ဒီအထဲမွ အသုံးအ၀င္ဆုံးနဲ႔ အသုံးအမ်ားဆုံး Addon ေတြကို ေဖာ္ျပေပးလိုက္ပါတယ္....

1. Hackbar

Sql Injection လုပ္ရာမွာ အလြန္အသုံး၀င္လွတဲ့ Addon ေလးပါ။ Website ေတြကို penetration (ထိုးေဖာက္၀င္ေရာက္) တဲ့ ေနရာမွာ အသုံးျပဳပါတယ္...exploit ေတြကို မေဖာ္ထုတ္ႏိုင္ေပမယ့္ .. site တစ္ခု ယိုေပါက္ ရွိ/မရွိ စစ္ေဆးတဲ့ေနရာမွာ အသုံး၀င္ပါတယ္..ဒါအျပင္ Union select အသုံးျပဳရ လြယ္ကူၿပီး ၊ String မွ Char ပုံ ေျပာင္းျခင္း ၊ String မွ Hex ပုံစံ ေျပာင္းတဲ့ေနရာေတြမွာ မ်ားစြာ အသုံး၀င္ပါတယ္......Hackbar ေလးကို firefox မွာ ထည့္သြင္းခ်င္ရင္ေတာ့ ..

https://addons.mozilla.org/en-US/firefox/addon/hackbar/

Sql Injection "Not Acceptable" Bypass

Sql injection ဟာ ေပ်ာ္ရြင္စရာေကာင္းတဲ့ Hacking ရဲ႕ ဘာသာရပ္တစ္ခုလုိ႔ ေျပာရပါမယ္...

ထိုးေဖာက္၀င္ေရာက္ခံရတဲ့ Website ေတြကို ေလ့လာၾကည့္မယ္ဆိုရင္လည္း SQL Injection နည္းလမ္းနဲ႔ အမ်ားဆုံး တိုက္ခိုက္ထိုးေဖာက္၀င္ေရာက္ခံရတာကို ေတြ႔ရမယ္ျဖစ္ပါတယ္...

Hacker ( or ) Attacker တစ္ေယာက္ဟာ Sql error (သို႔မဟုတ္)ယိုေပါက္ရွိေနတဲ့ Website တစ္ခုကို Column သိရန္အတြက္ Order by နဲ႔ စစ္ၿပီး ဘယ္ေကာ္လံ မွာ ယုိေပါက္ရွိသလဲ သိရန္အတြက္ Union Select(or) Union All Select ကို အသုံးျပဳၿပီး စစ္တဲ့အခါမွာ အခက္အခဲေလးေတြနဲ႔ ၾကဳံေတြ႔ရ တတ္ပါ တယ္...အဲဒီအထဲကမွ တစ္ခုကို ေျပာရမယ္ဆိုရင္ေတာ့ "Not Acceptable" ဆိုတဲ့ error ပဲျဖစ္ပါတယ္...

Bypass "Not Acceptable" error

ကြ်န္ေတာ္က စာေရးဆရာမဟုတ္ ၊ Hacker တစ္ေယာက္လည္း မဟုတ္တဲ့ အတြက္ အသုံးအႏႈန္း လြဲတာ ၊ အေရးအသား မေျပျပစ္ မရွင္းလင္းတာ ရွိရင္ေတာ့ သည္းခံၾကပါ.....

ဒီ Tutorial ကိုေရးဖို႔ ယိုေပါက္ရွိတဲ့ Site ေတြအမ်ားႀကီးေတြ႔ၿပီး ေတာ္ေတာ္မ်ားမ်ားကို စမ္းသပ္ခဲ့ပါတယ္.. အဲဒီထဲက ကြ်န္ေတာ္ Site တစ္ခုကို ေရြးလိုက္ပါတယ္.ဘာေၾကာင့္ ေရြးလည္းဆိုေတာ့ ေလ့လာမယ့္ ညီအစ္ကိုေတြကို ဆက္လက္ေလ့လာေစခ်င္တဲ့အတြက္ ျဖစ္ပါတယ္...

ကဲ အထက္ပါ error ေလးကို ေရြးထားတဲ့ site တစ္ခုနဲ႔ လက္ေတြ႔ လိုက္လုပ္ၾကည့္လိုက္ရေအာင္....