Belajar Cara Mendapatkan Username Dan Password Website Menggunakan Tools SQLMAP di Termux
Heyo, apakabar?
Hingga sampai saat ini, SQL Injection masih menjadi salah satu serangan yang banyak dilakukan oleh Hacker. Jenis serangan ini dapat menimbulkan banyak kerugian karena disebabkan rusaknya database dari sebuah situs atau website tersebut.
Biasanya Hacker menggunakan teknik SQL Injection ini untuk mencuri informasi yang sangat penting misal seperti data username, password, dsb bahkan bisa memasukan script yang berbahaya, parah bukan?
Nah oke, melalui artikel ini, saya ingin sharing sedikit tentang bagaimana sih cara mencari username dan password website dengan menggunakan SQLMAP ditermux android. Tujuan dari ini semua adalah sebagai media belajar SQL Injection maupun sebagai referensi buat kamu yang tentunya ingin belajar, bukan maksud yang lain hehe.
Oiyaa, apa itu SQLMAP?
Jadi penjelasan singkatnya gini, SQLMAP adalah sebuah script eksploitasi yang ditulis dengan bahasa pemrograman Python, dimana cara kerja tools slqmap ini yakni dapat melakukan eksploitasi terhadap situs website yang memiliki bug atau celah terhadap serangan SQL Injection.
Kira-kira kurang lebih seperti itu penjelasanya, sekarang mari kita simak Cara Install Sqlmap di Termux terlebih dahulu untuk sebelum lanjut ketutorial selanjutnya.
STEP 1: Install SQLMAP di Termux
Bagi yang belum install Termux, saya sarankan install dulu aja download lewat Playstore, karena termux ini nanti sebagai terminal buat menjalankan tools sqlmap.
Maaf ya sebelumnya, untuk cara install sqlmap termux kamu bisa baca pada artikel yang sebelumnya sudah saya publikasikan diblog ini, berikut ini artikelnya buat kamu Cara Install SQLMAP di Termux makasih.
STEP 2: Mencari Website Target
Dalam hal ini sangatlah mudah untuk mencari target yang vulnerability terhadap serangan SQL Injection, kamu bisa menggunakan dengan Dork.
Contoh dork sqli: intext:"produk" inurl:".php?ID=" site:id
Bisa kamu kembangkan lebih dalam lagi sesuai imajinasimu, supaya mendapatkan hasil yang bisa dibilang fresh dan maksimal. Untuk hal ini kamu juga harus paham dasar-dasar dork biar tidak binggung.
Biasanya sih, kalau ngedorknya lewat Search Engine Google kadang dikit-dikit terkena Captcha, saran saya mending ngedorknya melalui mesin pencarian Bing aja.
Target Saya:
http://url/pagina.php?id=10
STEP 3: Mulai Menggunakan SQLMAP
Jika semuanya sudah siap termasuk proses install tools sqlmap selesai dsb, mari kita mulai dengan cara menggunakan sqlmap.
Hal pertama ketikan perintah help berikut ini pada terminal termux kamu, guna untuk mengetahui perintah atau pentujuk apa saja yang ada di tools sqlmap, biar paham.
$ python sqlmap.py -h
Jika kita kamu jalankan perintah tersebut, kurang lebih tampilanya akan seperti pada gambar berikut ini.
Kalau sudah dipahami dalam penggunaanya, selanjutnya mari kita ketahap ekseskusi target.
STEP 4: Eksekusi Target
Setelah sudah ada target yang mau diinjeksi, pertama kamu cek terlebih dahulu apakah website target kamu rentan terhadap sql injection atau tidak, dengan perintah seperti berikut ini.
$ python sqlmap.py -u http://url/pagina.php?id=10
Nah, jika kamu sudah mengetahui website yang kamu masukan tadi rentan terhadap sql injection dan bisa dikatakan dapat dieksploitasi, langkah selanjutnya yakni mencari tahu nama database apa saja yang ada diwebsite tersebut.
1. Mencari Database
Ketikan perintah berikut ini pada terminal termux kamu guna untuk mencari database.
$ python sqlmap.py -u http://url/pagina.php?id=10 --threads 10 --dbs
Jika kita ketahui, dari output tampilan sqlmap tersebut mendapatkan jumlah 3 database, selanjutnya kamu dapat melakukan perintah untuk mengetahui tables apa saja yang ada diwebsite tersebut.
2. Mendapatkan Informasi Tables
Disini untuk mendapatkan informasi tables, saya memilih database "czga1" lalu ketikan seperti berikut ini.
$ python sqlmap.py -u http://url/pagina.php?id=10 --threads 10 --tables -D czga1
Dari hasil setelah menjalankan perintah tersebut, disini saya mendaptkan jumlah 6 tables pada database czga1. Langkah selanjutnya apa? Simak berikut ini.
3. Mendapatkan Username dan Password
Dalam hal ini untuk mencari username dan password, kira-kira biasanya ada ditables seperti User, Admin, Login dsb yang sekiranya masih berhubungan.
Disini saya akan mencoba columns pada table user, caranya seperti ini.
$ python sqlmap.py -u http://url/pagina.php?id=10 --threads 10 -D czga1 -T user --columns
Oke, dari tables user jumlahnya ada 3 columns yaitu ada id, nume, parola. Nah, ini semua adalah bisa dikatakan untuk informasi login diwebsite tersebut.
Sekarang selanjutnya adalah dump database dari columns user tersebut, caranya ketikan perintah seperti berikut ini.
$ python sqlmap.py -u http://url/pagina.php?id=10 --threads 10 -D czga1 -T user --dump
Booomm, berhasilkan?
Sip oke, dari sini saya berhasil mendapatkan informasi login username dan password yang ada diwebsite tersebut.
Sip oke, dari sini saya berhasil mendapatkan informasi login username dan password yang ada diwebsite tersebut.
Tapi disitu password yang saya dapatkan masih berbentuk atau jenis MD5, buat kamu kalau menemukan password yang sudah di terenkripsi kamu harus crack password tersebut untuk melihat password yang asli.
Setahu saya, kalau ditools sqlmap itu sebenarnya sudah menyediakan proses untuk crack password tersebut, Nah akan tetapi menurut saya rasanya kurang begitu memuaskan dalam hasilnya. Untuk hal itu saya merekomendasikan website tempat crack password online, yaitu kamu bisa baca pada artikel yang sebelumnya sudah saya bahas, kamu bisa baca Kumpulan Website Hash Password Online
Baiklah, sudah selesai, mudahkan?
Jika kamu ingin bertanya silahkan tinggalkan pesan pada kolom komentar yang sudah disediakan dibawah, dengan senang hati nanti saya bantu jawab sebisa mungkin.
Jika kamu ingin bertanya silahkan tinggalkan pesan pada kolom komentar yang sudah disediakan dibawah, dengan senang hati nanti saya bantu jawab sebisa mungkin.
Sekian artikel kali ini tentang Belajar Cara Mendapatkan Username Dan Password Web Menggunakan Tools SQLMAP di Termux semoga apa yang saya tulis ini dapat membantu dan bermanfaat ya.
Dari saya, mohon maaf bila ada kesalahan entah itu penulisan atau penjelasan mohon untuk dimaklumi, makasih.
Yasudah, happy hacking and enjoy, thanks!
Cara buat daftar isi kek blog agan gmna?
ReplyDeleteAku ambil mentahan dari script yang udah berterbaran digoogle kemudian aku redesign, kalo mau scriptnya pm lewat facebook aja mas hehe.
DeleteSaya dah pm tapi gak dibaca ama agan :"
DeleteAdd friend dulu, soalnya ga ada notif pesan masuk jadi saya ga tahu mas.
ReplyDelete