Tutorial Install Sqlmap beserta Fitur dan Kegunaannya

9:28 PM

"Sqlmap is an open source penetration testing tool that automates the process of detecting and exploiting SQL injection flaws and taking over of database servers. It comes with a powerful detection engine, many niche features for the ultimate penetration tester and a broad range of switches lasting from database fingerprinting, over data fetching from the database, to accessing the underlying file system and executing commands on the operating system via out-of-band connections" -sqlmap.org

Secara singkat, sqlmap merupakan tool yang digunakan untuk keperluan penetration testing yang dikususkan menangani SQL Injection yang dikembangkan secara Open Source ( bebas digunakan dan disebar luaskan), tool sqlmap sendiri ditulis dalam bahasa pemograman Python. Sqlmap dapat secara otomatis mengenali berbagai jenis vulnerability SQL, termasuk jenis database management system yang digunakan, operasi sistem, dan dapat dengan mudah menampilkan tabel dan database secara otomatis. Tentunya dengan menggunakan sqlmap, melakukan penetration testing pada vulnerability SQL Injection menjadi lebih mudah daripada melakukannya secara manual.

Berikut merupakan fitur - fitur yang akan Anda dapatkan dari Sqlmap:
  • Full support for six SQL injection techniques: boolean-based blind, time-based blind, error-based, UNION query-based, stacked queries and out-of-band.
  • Support to directly connect to the database without passing via a SQL injection, by providing DBMS credentials, IP address, port and database name.
  • Support to enumerate users, password hashes, privileges, roles, databases, tables and columns.
  • Automatic recognition of password hash formats and support for cracking them using a dictionary-based attack.
  • Support to dump database tables entirely, a range of entries or specific columns as per user's choice. The user can also choose to dump only a range of characters from each column's entry.
  • Support to search for specific database names, specific tables across all databases or specific columns across all databases' tables. This is useful, for instance, to identify tables containing custom application credentials where relevant columns' names contain string like name and pass.
  • Support to download and upload any file from the database server underlying file system when the database software is MySQL, PostgreSQL or Microsoft SQL Server.
  • Support to execute arbitrary commands and retrieve their standard output on the database server underlying operating system when the database software is MySQL, PostgreSQL or Microsoft SQL Server.
  • Support to establish an out-of-band stateful TCP connection between the attacker machine and the database server underlying operating system. This channel can be an interactive command prompt, a Meterpreter session or a graphical user interface (VNC) session as per user's choice.
  • Support for database process' user privilege escalation via Metasploit's Meterpreter getsystem command.
Dalam artikel ini, kita akan mencoba melakukan instalasi sqlmap dengan mudah pada sistem operasi Linux, namun untuk beberapa distro Linux khususnya pada bidang Penetration Testing, sudah menyertakan sqlmap didalamnya, seperti distro Kali Linux, Backbox dan lainnya.

Pertama, untuk menginstal sqlmap diperlukan Python versi 2.7, sqlmap tidak mendukung Python 3, apabila anda belum menginstallnya dan anda sedang menggunakan Linux Debian atau turunannya, silahkan ketik pada terminal: sudo apt-get install python dan untuk pengguna CentOS anda dapat menginstallnya dengan mengetik sudo yum install python pada terminal. Selengkapnya dapat anda baca di www.python.org
 
Setelah anda berhasil melakukan instalasi Python, atau anda sudah memilikinya, maka langsung saja kita lakukan instalasi sqlmap dengan men-download sqlmap menggunakan bantuan git, apabila anda belum memilkinya silahkan install dengan mengetikkan sudo apt-get install git atau sudo yum install git.
** Anda juga dapat mendownloadnya langsung di github.com/sqlmapproject/sqlmap

Kemudian, untuk men-download sqlmap dari github  kita ketikan pada terminal sebagai berikut:

git clone https://github.com/sqlmapproject/sqlmap.git sqlmap

Setelah kita eksekusi perintah diatas, maka sqlmap akan terdownload pada directory sqlmap, seperti yang sudah ditentukan. Selanjutkan kita pindah directory bekerja kita ke /sqlmap dengan perintah cd /sqlmap
 dan kita periksa apakah sqlmap berhasil di download dengan mengetikkan perintah ls.


Sepertinya tool sqlmap sudah berhasil didownload dengan benar. Selanjutnya, kita akan mencoba menjalankannya dengan mengetikkan:

python sqlmap.py -h
Maka kurang lebih terminal akan menampilkan sqlmap seperti gambar berikut.
Sampai titik ini, anda sudah berhasil melakukan instalasi sqlmap, anda dapat membukanya dengan memindahkan working directory anda pada directory sqlmap, atau meng-eksekusinya dengan perintah python /path/sqlmap.py. Namun cara tersebut dirasa kurang praktis dan memakan banyak waktu. Oleh karena itu, kita bisa membuat symbolic link untuk sqlmap, sehingga dapat dijalankan dengan mudah. untuk membuat symlink (symbolic link) kita hanya perlu mengetikkan perintah berikut.

sudo ln -s /path/sqlmap/sqlmap.py /bin/sqlmap
** /bin/sqlmap dapat anda ganti menjadi /usr/bin/sqlmap
 Apabila anda sudah berhasil mengeksekusi perintah tersebut, maka akan terbentuk symlink sqlmap pada directory pada /bin atau /usr/bin/ seperti gambar berikut.

** Saya menaruh directory sqlmap pada /opt/sqlmap/
Sekarang, anda dapat mengakses sqlmap dengan mudah, yaitu cukup memanggil sqlmap pada terminal, dimanapun working directory anda.


Tutorial cara penggunaan dan tekniknya akan saya posting dalam artikel berikutnya.

Demikian artikel yang dapat saya berikan, mohon maaf apabila terjadi kesalahan ataupun ada pihak yang merasa dirugikan, artikel ini hanya bertujuan untuk Ilmu Pengetahuan saja, kirimkan Komentar apabila ada yang ingin ditanyakan,  Semoga bermanfaat.

Share This Story

Tags:

You Might Also Like

0 comments

Artikel menarik lainnya