Sql Injection Form Login Dengan Sqlmap

subangxploits - sql injection adalah salah satu tekhnik serangan yang sangat populer dari waktu ke waktu, karna memang dari kebanyakan website 75% rentan sql injection, termasuk juga beberapa website pemerintah indonesia.  itu menurut pengalaman saya pribadi :v mungkin masih banyak vulnerability lain nya yang belum di jamak pentester.

Namun pernah gak sih kalian menemukan bug sql injection di bagian form login? tapi bukan bypass admin yang saya maksud, memang caranya sama seperti bypass admin, namun di sini kita tidak dapat langsung login ke dashboard, biasanya muncul peringatan error mysql yang biasa kita temukan pada website yang rentan sql injection. dari situ kadang pemula seperti saya berfikir bagaimana sih cara injectnya? sebenarnya caranya sangat mudah sekali. kita dapat memanfaatkan tools sqlmap untuk melakukan penyerangan. namun di bantu beberapa alat lainnya juga seperti burp suite disini burp suite berperan penting untuk metihat post data setelah melakukan login pada website target,  atau jika kalian tidak mempunyai burp suite kalian juga dapat menggunakan Addons HTTP Headers pada Fire Fox. Namun dalam tutorial ini saya akan menggunakan burp suite saja karna sudah terlalu nyaman dengan chrome untuk menulis di bloggers :v

Di sini saya sudah menyiapkan satu target untuk melakukan test langsung, boleh kalian gunakan juga untuk praktik.

Target: https://www.cyberbpoinc.com/admin/

Okee... langsung saja let's play to exploit :v kalian login saja dulu seperti biasa kalian melakukan metode bypass admin dengan memasukan username dan password yang ada di bawah ini.

' or 1=1 limit 1 -- -+
Atau juga kalian bisa memakai username dan password yang ini

'="or'


Seperti contoh di sini saya mendapatkan error, yang menandakan jika web tersebut rentan sql injection. Jangan lupa aktifkan porxy dan buka burp suite agar dapat nelihat post data yang di hasilkan setelah login.



Dan untuk post datanya, contoh pada gambar di bawah, nanti dari hasil post data inilah kita dapat mengexploitasi bug sql yang terdapat di halaman login dengan sqlmap. maka dari itu, burp suite ini penting karna agar dapat melakukan sql injection di halaman login dengan sqlmap membutuhkan post data.



Seperti pada gambar di atas bisa kita lihat vuln sql terdapat pada /admin/signin_post.php dan untuk post data nya sebagai berikut ini username=%27%3D%22or%27&password=%27%3D%22or%27

Sekarang kita buka sqlmap, dan jalankan perintah seperti di bawah ini

sqlmap -u https://www.cyberbpoinc.com/admin/signin_post.php --data='username=%27%3D%22or%27&password=%27%3D%22or%27' --dbs

Untuk bagian --data='isi dengan post data' bisa kalian sesuaikan dengan post data target kalian masing masing begitupun dengan url vuln nya silahkan di aplikasikan sendiri. namun karna di sini saya memberikan target untuk memperaktikannya maka langsung saja ikuti seperti apa yang sudah saya tulis di blog ini.

Tunggu hingga selesai, dan sqlmap akan menampilkan database website target yang sudah kita inject, contoh pada gambar di bawah.


Okee... website target sudah berhasil kita inject dan menampilkan databasenya. sampai sini saya yakin kalian sudah ngerti apa yang harus di lakukan selanjutnya. Yapss! menampilkan tables dari isi database tersebut. Caranya bagaimana? cukup mengganti --dbs dengan -D database_target --tables jadi akan menjadi seperti ini

sqlmap -u https://www.cyberbpoinc.com/admin/signin_post.php --data='username=%27%3D%22or%27&password=%27%3D%22or%27' -D cyberbpo_\xff\xe2acayhol_krbnts45_adminq --tables

Dan lagi-lagi kita harus nunggu sampai sqlmap kelar dan menampilkan semua tables dari database target :v sampai sini saja saya yakin kalian sudah paham tindakan selanjutnya. selamat mencoba dan semoga bermanfaat
Sql Injection Form Login Dengan Sqlmap

Jasa Pembuatan Website

50 % off

Ingin membuat website atau blog dengan harga murah? Dapatkan harga terbaik dari kami sekarang juga!

Dapatkan Sekarang