SQLMap V1.2.11 - Automatic SQL Injection And Database Takeover Tools

Apa itu SQLMap
SQLMap adalah salah satu tool otomatis untuk melakukan SQL Injection yang paling populer dan hebat. Dengan url http request yang rentan, sqlmap dapat mengeksploitasi remote database dan melakukan hacking seperti mengekstrak nama database, tabel, kolom, semua data dalam tabel, dll. Bahkan dapat membaca dan menulis file pada remote sistem file pada kondisi tertentu. Ditulis dalam bahasa python dan merupakan salah satu alat hacking yang paling hebat. SQLMap adalah SQL Injection metasploit. SQLMap disertakan dalam beberapa distro linux pentesting seperti kali linux, backtrack, backbox dll.

Karena ditulis dalam bahasa python, maka anda harus menginstal python di sistem anda terlebih dahulu. Di ubuntu install python dari synaptic. Pada windows install activestate python.

Fitur-Fitur SQLMap
- Dukungan penuh untuk sistem manajemen basis data MySQL, Oracle, PostgreSQL, Microsoft SQL Server, Microsoft Access, IBM DB2, SQLite, Firebird, Sybase dan SAP MaxDB.
- Dukungan penuh untuk enam teknik SQL Injection: boolean-based blind, time-based blind, error-based, UNION query, stacked queries and out-of-band.
- Dukungan untuk langsung terhubung ke database tanpa melalui SQL Injection, dengan menyediakan kredensial DBMS, alamat IP, port dan nama database.
- Dukungan untuk menghitung pengguna, hash kata sandi, privileges, roles, database, tabel dan kolom.
Pengenalan otomatis format hash password dan dukungan untuk cracking menggunakan serangan berbasis kamus.
- Dukungan untuk membuang tabel database seluruhnya, kisaran entri atau kolom spesifik sesuai pilihan pengguna. Pengguna juga dapat memilih untuk membuang hanya sejumlah karakter dari entri masing-masing kolom.
- Dukungan untuk mencari nama database tertentu, tabel spesifik di semua database atau kolom spesifik di semua tabel database. Ini berguna, misalnya, untuk mengidentifikasi tabel yang berisi kredensial aplikasi kustom di mana nama kolom yang relevan mengandung string seperti nama dan password.
- Dukungan untuk mendownload dan mengunggah file apapun dari database server yang mendasari sistem file pada perangkat lunak database MySQL, PostgreSQL atau Microsoft SQL Server.
- Dukungan untuk mengeksekusi perintah acak dan mengambil output standar mereka pada database server yang mendasari sistem operasi saat perangkat lunak database adalah MySQL, PostgreSQL atau Microsoft SQL Server.
- Dukungan untuk membangun koneksi TCP stateful out-of-band antara mesin penyerang dan server basis data yang mendasari sistem operasi. Saluran ini bisa menjadi prompt perintah interaktif, sesi Meterpreter atau sesi antarmuka pengguna grafis (VNC) sesuai pilihan pengguna.
- Dukungan untuk proses database 'esensi hak istimewa pengguna melalui perintah Metasploit's Meterpreter getsystem.

Installation
Download python interpreter dari python.org. Ada dua seri python, 2.7.x dan 3.3.x
Download SQLMap https://github.com/sqlmapproject/sqlmap

Usage
https://github.com/sqlmapproject/sqlmap

Bagikan Artikel ini