Sqlmap adalah salah satu tools yang digunakan untuk mendeteksi atau exploitasi kelemahan SQL Injection pada sebuah website. Sqlmap juga salah satu tools yang dikembangkan secara open source oleh :
dan sqlmap dapat di download :
Dengan tool ini seorang Pentester dapat mengexploitasi sebuah website dari kelemahan SQL Injection untuk mengambil informasi dari Database website ataupun mendapatkan hak akses pada komputer sysadmin website tersebut. Selain itu sqlmap juga berguna untuk Developer mencari kelemahan source code pada website nya yang rentan serangan SQL Injection
Fitur dari Sqlmap
- Dukungan penuh untuk MySQL, Oracle, PostgreSQL, Microsoft SQL Server, Microsoft Access, IBM DB2, SQLite, Firebird, Sybase, SAP MaxDB dan sistem manajemen database HSQLDB.
- Dukungan penuh selama enam teknik SQL injection: berbasis boolean buta, berdasarkan waktu blind, berbasis error, berbasis permintaan UNION, query ditumpuk dan out-of-band.
- Dukungan untuk langsung terhubung ke database tanpa melewati melalui injeksi SQL, dengan menyediakan DBMS kredensial, alamat IP, port dan nama database.
- Dukungan untuk menghitung pengguna, hash password, hak, peran, database, tabel dan kolom.
- Pengakuan otomatis format hash sandi dan dukungan untuk retak mereka menggunakan serangan kamus berbasis.
- Dukungan untuk membuang tabel database seluruhnya, berbagai entri atau kolom tertentu sesuai pilihan pengguna. Pengguna juga dapat memilih untuk membuang hanya berbagai karakter dari entri setiap kolom ini.
- Dukungan untuk mencari nama database tertentu, tabel khusus di semua database atau kolom tertentu di tabel semua database '. Hal ini berguna, misalnya, untuk mengidentifikasi tabel yang berisi kredensial aplikasi kustom di mana nama-nama kolom yang relevan 'mengandung string seperti nama dan lulus.
- Dukungan untuk men-download dan meng-upload file dari server database yang mendasari sistem file ketika software database MySQL, PostgreSQL atau Microsoft SQL Server.
- Dukungan untuk mengeksekusi perintah sewenang-wenang dan mengambil output standar mereka pada database server yang mendasari sistem operasi ketika software database MySQL, PostgreSQL atau Microsoft SQL Server.
- Dukungan untuk membangun koneksi stateful TCP out-of-band antara mesin penyerang dan sistem operasi server database yang mendasari. Saluran ini dapat menjadi command prompt interaktif, sesi meterpreter atau antarmuka pengguna (VNC) sesi grafis sesuai pilihan pengguna.
- Dukungan untuk proses database 'pengguna eskalasi hak istimewa melalui meterpreter Metasploit ini getsystem perintah.
NB : "Artikel ini hanya untuk pembelajaran semata dan gunakan ilmu dengan sebaik - baiknya"
0 Comment to "SQLMAP"
Posting Komentar