Sebenarnya ini teknik lama namun saya share barangkali ada yang belum tau. SQL Injection sendiri bisa dilakukan di halaman login pada target yang vuln terhadap sqli post data.
Saat kalian megakses halaman login sebuah situs coba masukkan petik satu ( ' ) di kolom username atau password nya. Nah jika kalian mendapat error seperti ss diatas maka sqli bisa dilakukan.
Kita gunakan addons HTTP Headers pada firefox untuk meng-capture post data yang terdapat pada halaman login tersebut.
Seperti ss diatas,
Vuln terdapat pada :
http://192.168.48.143/checklogin.php
Dengan post data sebagai berikut :
myusername=linuxsec&mypassword=%27&Submit=Login
Disini saya coba melakukan injeksi dengan SQLmap.
Command nya sebagai berikut :
sqlmap -u "url" --data="post data" --dbs
Contoh :
sqlmap -u http://192.168.48.143/checklogin.php --data="myusername=linuxsec&mypassword=%27&Submit=Login" --dbs
Dan biarkan SQLmap melakukan injeksi otomatis.
Selanjutnya tinggal masukkan command basic SQLmap sampai kita mendapat username dan password victim.
Oke sekian tutor singkat kali ini, semoga bermanfaat.
sumber : http://exploit.linuxsec.org/2016/06/sql-injection-pada-halaman-login.html
0 comments:
Post a Comment