Friday, 4 October 2013

SQL Injection Dengan DroidSQLi Di Android

0 comments
Indonesian Cyber Army - Assalamualaikum, Berhubung saya juga pengguna Android, jadi sedikit saya berbagi bagaimana melakukan exploitasi web yang vulnerable terhadap SQLinjection dengan menggunakan aplikasi DroidSQLI. aplikasi ini sama halnya dengan Havij yang biasa digunakan di OS Windows, hanya saja mungkin fitur2nya yang membedakannya disini.


Silahkan sobat download dulu aplikasinya dan install ke OS Android Smartphone sobat, donlot aja melalui Playstore maupun sobat cari sendiri di google udah banyak :p

Note: Tidak semua website memiliki celah SQLi, So find them before exploiting :p

Quote: "Dalam dunia Hacking tidak ada yg instants dan bisa berhasil dengan mudah! Mereka yg berhasil adalah mereka yg selalu sabar berusaha dan terus mencoba!" By Onix AQua
Pertama, silahkan sobat cari aja target yang akan di exploitasi. gunakan dork atau pake apa aja terserah :p harap di cek dulu bahwa web yang akan diexploitasi tersebut memiliki bug/ celah / kerentanan terhadap SQLinjection. untuk mengetahuinya cukup mudah, sobat tinggal menambahkan tanda petik ( ' ) diakhir url. contoh target saya : http://www.eastodissa.ac.in/news-and-events.php?id=22' setelah ditambahin tanda petik ( ' ) maka akan muncul error yang menandakan bahwa web tersebut memiliki celah SQLinjection.  lihat gambar!


Kemudian masukan web target yang vuln SQLi ke Target Url lalu klik Inject!


Kalo proses injectnya berhasil, maka akan muncul Databasenya. silahkan pilih databasednya untuk mencari Tabel. dalam target saya disini nama databsenya adalah nilakantatrust.


Proses selanjutnya akan muncul Tabel, disini kita akan mencari letak user dan password admin. jadi saya memilih Table est_admin.


 Nah, dalam Tabel tersebut, ada beberapa column yang berisikan data admin. silahkan diceklish Column yang ingin di dump datanya. lalu klik Get Records


Maka akan muncul isi data yang ada pada column tersebut berupa data admin seperti email, username, dan password.


Nah dari column tadi kita dapatkan data yaitu:

Emailid : sswain@isandt.com
Last Loggin : 2013-09-26
Password : isti$$9!5!2013
Signature : Sanjay Kumar Swain
user id : trustadmin

Selanjutnya sobat tinggal mencari halaman adminnya, dan login ke panel admin. seandainya passwordnya berbentuk Hash, maka password tersebut harus di crack terlebih dahulu.Walaupun secara kasat mata, teknik ini sangat mudah apa lagi dengan menggunakan Automatic Tools, tapi cukup sulit juga. beberapa kasus dan kendala yang banyak dihadapi dalam melakukan SQLi yaitu  sulitnya menemukan halaman loggin serta password Hashnya. Disini kita banyak membutuhkan kesabaran dan ketekunan karena tidak ada yg mudah dalam dunia Hacking :p

Sekian tutorial yg dapat saya berikan, jika ada kekurangan mohon di perbaiki :) CMIIW :D semoga bermanfaat yah, wassalam.. :)


Content Creator : Onix AQua





Leave a Reply

berilah kritik dan saran yang baik. kritik dan saran anda berguna sekali bagi saya.