SQLMap, mungkin kalian sudah sering mendengar nama ini. untuk sekian kalinya kalian menginjeksi website menggunakan tools SQLMap. take a coffee! paling enak membaca artikel ini di temani dengan kopi hitam ataupun cappuccino :D
SQLMap bukan hanya memakai command "-u" ataupun "--dbs" saja banyak command yang bisa kalian gunakan. coba kalian ketik di terminal kalian
RedSector7@Ransacker:~# sqlmap --helpMaka akan kita bahas disini adalah bagaimana menginjeksi suatu website dengan SQLMap secara advance ? melalui POST & GET. Mungkin kalian pernah menginjeksi suatu website, saat kalian lihat di website ada tanda-tanda Error SQL tetapi saat kalian injeksi ternyata tidak vulnerable. bagaimana itu bisa terjadi ? mari kita bahas.
Metode POST
Metode POST akan mengirimkan data atau nilai langsung ke action untuk ditampung, tanpa menampilkan pada URL. Metode POST ini biasanya berada pada halaman register, form, login, search, page dan dll
Metode Get
Metode GET akan menampilkan data/nilai pada URL, kemudian akan ditampung oleh action. Metode GET ini biasanya berada pada halaman url.Biasanya saya pakai BurpSuite untuk mengintercept suatu target, kalian juga bisa download BurpSuite disni (jika kalian yang belum punya BurpSuite)
Coba kalian intercept suatu target, lihatlah hasil intercept kalian apakah hasil intercept kalian itu Metode POST atau Metode GET ? jika sudah save hasil intercept kalian di nano. karna saya pakai linux maka saya pakai nano pengganti notepad di windows.
RedSector7@Ransacker:~# nano target.txtlalu copy hasil intercept kalian ke terminal kemudian "ctrl+x" lalu tekan "y" dan "enter"
Kemudian jalankan SQLMap kalian dengan mengetikkan
RedSector7@Ransacker:~# sqlmap -r "/root/target.txt
Mungkin itu saja untuk artikel kali ini, jika ada yang kurang dipahami atau ingin bertanya silahkan menghubungi kami via fanspage.
Terimakasih
Sekian tutorial dari saya semoga bermanfaat. ~Ransacker