Kali ini AoiCyber akan berbagi sedikit tips buat kalian para bug hunter dan juga Exploiter.
Dan Kali Ini Yang Akan Kita Pelajari Bersama" Adalah Sebuah Tools Auto Sql Injection ,Yang Mana Tools Jsql ini adalah tools Open Source Dan Juga Memiliki Size File Yang Kecil.
Biar Gak Kelamaan Langsung saja kita Ketahui Terlebih Dahulu Apa Itu Jsql Dan Apa Itu sql :
Tools jSQL
jSQL Adalah Sebuah Tools Open Source Yang Memilikin Size File Yang Ringan (7.74 MB) ,Selain Itu Tools Jsql Juga Bisa Kita Gunakan Pada Os Windows ,Mac OS X,Solaris ,Linux .
Dan Bagi Kalian Yang Lebih Suka Menggunaka Android Kalian Bisa Menggunakannya Di RDP ( Remote Desktop Protocol ). Untuk Cara Memasangnya Juga Cukup Mudah ,Jika Kalian Pengguna Kali linux Kalian Hanya Perlu Mengengetikkan :
sudo apt-get install jsql-injectionDan Untuk Pengguna Windows Dan Lainya Kalian Bisa Mengunduhnya Disini :
Disini
Bisa Juga Mengunjungi Github Jsql Disini :
Disini
Atau kalian bisa langsung melakukan clone repository jsql dengan command berikut:
git clone https://github.com/ron190/jsql-injection.git
SQL
Kenapa SQL? SQL adalah sebuah bahasa Query yang dirancang untuk pengambilan informasi tertentu dari sebuah database. SQL muncul pada 1970 dengan namastructured english query language(SEQUEL).
Kemudian, pada 1986, IBM menggunakan SEQUEL dalam berbagai proyekdatabasemereka. Tak lama, nama SEQUEL pun diubah menjadi SQL agar lebih mudah dieja.
Sejak saat itu, SQL menjadi semakin populer dalam pengolahan data dandatabase. Namun Seiring Berkembangnya Teknologi Beberapa Celah Keamanan / Biasa Kita Sebut Bug Mulai Ditemukan ,Dan Jika Kalian Ingin Mempelajari Lebih Lanjut Detail Dari Sql Injection Kalian Bisa Mengunjungi Website Milik WikiPedia DISINI.
Mungkin 2 Penjelasan Diatas Sudah Cukup Dan Sekarang kita akan belajar Cara Menggunakan Jsql Injection. Jika Kalian Pengguna Kali linux Ataupun Windows dll ,Kalian Bisa Menginstallnya sesuai Penjelasan Saya Diatas.
Pertama Kalian Cari website / Laman Yang Mempunyai Celah Sql Injection, Atau Kalian Juga Bisa Menggunakan Beberapa Program Seperti CTF Challenge / Website Yang Sedang Membuka Bug Bounty . Disini Saya Sudah Menyiapkan Website Yang Akan kita jadikan Bahan Pembelajaran.
Jadi Langkah Selanjutnya yang Akan kita lakukan Adalah Mengecek Apakah Website Tersebut Rentan Terhadap Serangan Injeksi Sql / Tidak ,Caranya Sangat Mudah Yaitu Dengan Cara Menambahkan Tanda Kutip ( ' ) Pada Parameter Website Seperti Ini :
https://ctfsql.com/profile.php?id=12Lalu Kita Tambahkan Tanda Kutip ( ' ) Dibelakang Parameter Dan Disini Parameternya Adalah id 12 Maka Kita Ganti Jadi Seperti ini :
https://ctfsql.com/profile.php?id=12'Jika Laman Tersebut Memunculkan Error / output Seperti "you have an error in your sql syntax " Kemungkinan Besar Website Tersebut Rentan Terhadap Serangan Injeksi sql.
Next Kita Buka Tools Jsql kita ,Dan Karena Disini Saya Menggunaka Kali linux Yang Saya Install Di Virtual Box Maka Saya Hanya Perlu Mengetikkan Perintah
jsqlMaka Akan secara Otomatis Tools Jsql Akan Terbuka , Seperti ini :
Dan Tinggal Kalian Masukan Website Percobaan Kalian Pada Kolom Yang Ada Tulisan " Enter Addres " ,Lalu Kalian Pilih Metode Sql Apa Yang Akan Kalian Gunakan ,Karena Kita akan melakukan sql pada website Yang Menggunakan Mysql Maka Kita pilih yang " MySql" ,Seperti Ini :
Bisa Kalian Lihat Saya Memilih Untuk Melakukan Serangan Sql Yang Akan Kita Fokuskan Pada MySql ,Dan Untuk Bagian Strategy Saya Lebih Suka Menggunakan Yang Auto ,Karena Akan Lebih Mudah Dan Juga Lebih Akurat.
Lalu Kalian Klik Tanda Panah Yang Mengarah Ke Kanan ,Fungsi ( Run Tools ).
Setelah Itu Kalian Tinggal Tunggu Tools Jsql Memindai Semua Kerentanan Yang Ada ,Jika Sudah Maka Semua Akan Terkumpul Pada Bagian Yang Terdapat Tulisan " No Database ".
Karena Itu Saya Belum Run Tools Nya Jadi Database Nya masih Kosong ,Kalau Sudah Run Tools Dan Website Tersebut Benar" Rentan Terhadap Serangan injeksi Sql Maka Akan Muncul Beberapa Informasi ,Baik Itu Databse Username ,Password Ataupun Nama" File Yang Ada pada website tersebut , Kurang Lebih OutPut Yang Akan Muncul Seperti ScreenShoot Dibawah Ini :
Bagaimana ? Mudah Bukan ...
Setelah Itu Kalian Hanya Perlu Melihat / load database mana Yang Ingin Kalian Lihat . Dan Berikut Adalah Beberapa Fitur Yang Disediakan Oleh Tools Jsql :
- Automatic Sql Injection & Auto Get All Database
- Read File '/etc/passwd/' 'C:/Xampp' and someone
- Admin Page Finder
- All Hash Password Brute Force
- SQL Shell
- Create Shell / Backdoor
- Upload file
- Encode & Decode
- Bath Scanner
Sepertinya cukup Itu Saja yang Saya Bisa Jelaskan Dan Jika Dari Kalian ada Yang mengalami Error Baik Itu Ketika Tahap Installasi ataupun saat running tools Kalian Bisa Bertanya Pada Saya Pada Kolom Komentar Yang sudah Di sediakan Dibawah.
Kalian Juga Bisa Request Tutorial" Lainya Melalui Kolom Komentar Dibawah. Cukup Sekian Dari Saya Dan Terima Kasih Telah Berkunjung.