Skip to main content

SQL


SQL Ninja merupakan sebuah tool yang digunakan untuk SQL Injection dan merupakan tools  untuk megambil alih database. Pada intinya SQL Ninja adalah alat yang ditargetkan untuk mengeksploitasi kelemahan SQL Injection pada aplikasi web yang menggunakan Microsoft SQL Server sebagai back end-nya dan juga sebagian lainnya.
Tujuan utama SQL Ninja adalah untuk menyediakan akses remote pada server database yang memiliki kerentanan, bahkan di lingkungan yang sangat secure sekalipun. Hal ini juga bisa digunakan oleh penetration tester untuk membantu dan mengotomatisasi proses dalam mengambil alih Server DB ketika kerentanan SQL Injection telah ditemukan.
Fitur yang tersedia:
  • Fingerprint of the remote SQL Server (version, user performing the queries, user privileges, xp_cmdshell availability, DB authentication mode)
  • Bruteforce of ‘sa’ password (in 2 flavors: dictionary-based and incremental)
  • Privilege escalation to sysadmin group if ‘sa’ password has been found
  • Creation of a custom xp_cmdshell if the original one has been removed
  • Upload of netcat (or any other executable) using only normal HTTP requests (no FTP/TFTP needed)
  • TCP/UDP portscan from the target SQL Server to the attacking machine, in order to find a port that is allowed by the firewall of the target network and use it for a reverse shell
  • Direct and reverse bindshell, both TCP and UDP
  • ICMP-tunneled shell, when no TCP/UDP ports are available for a direct/reverse shell but the DB can ping your box
  • DNS-tunneled pseudo-shell, when no TCP/UDP ports are available for a direct/reverse shell, but the DB server can resolve external hostnames (check the documentation for details about how this works)
  • Evasion techniques to confuse a few IDS/IPS/WAF
  • Integration with Metasploit3, to obtain a graphical access to the remote DB server through a VNC server injection
  • Integration with churrasco.exe, to escalate privileges to SYSTEM on w2k3 via token kidnapping
  • Support for CVE-2010-0232, to escalate the privileges of sqlservr.exe to SYSTEM
Requirement:
Sql Ninja menggunakan Perl, sehingga yang dibutuhkan adalah install Perl dan beberapa module berikut jika tidak ada secara default:
* NetPacket
* Net-Pcap
* Net-DNS
* Net-RawIP
* IO-Socket-SSL
* Net-Pcap
Anda juga akan memerlukan Metasploit Framework Minimum 3 di komputer anda untuk menggunakan modus serangan menggunakan metasploit, dan juga install  VNC client jika Anda menggunakan payload VNC.
Jika sesuatu berjalan salah, sebaiknya anda mengaktifkan output verbose ketika install (-v opsi) dan / atau debugging (-d) harus menyediakan beberapa petunjuk. SQL Ninja bekerja pada system  Gentoo,  namun sqlninja telah dicoba untuk bisa berjalan pada sistem operasi berikut:
  • Linux
  • FreeBSD
  • Mac OS X
Penjelasan detailnya silakan disini: http://sqlninja.sourceforge.net/sqlninja-howto.html

Comments

Post a Comment

Popular posts from this blog

DOXING, TEKNIK LAIN UNTUK HACKING PASSWORD

Doxing adalah proses mendapatkan informasi tentang seseorang dengan menggunakan sumber-sumber di Internet menggunakan skill lainya. Doxing berasal dari kata "Dokumen" yang di singkat yakni pengambilan "Dokumen" pada seseorang atau perusahaan. Ada beberapa cara untuk mendapatkan informasi pribadi secara online. Metode yang paling populer adalah melalui website yang disebut Pipl . Pipl memungkinkan Anda untuk mencari nama lengkap, email, nama pengguna dan bahkan nomor telepon sekalipun. Sehingga membuat Pipl menjadi alat yang sangat berguna untuk hacker. Sumber lain hacker dapat digunakan adalah melalui situs jejaring sosial Facebook . Tetapi kebanyakan hacker tidak menggunakan Facebook untuk pencarian nama, mereka hanya menggunakannya untuk pencarian alamat email-nya, karena nama sering di singkat atau di palsukan. Tujuan utama Doxing adalah untuk menemukan alamat email target. Sebab, Email pada dasarnya berfungsi sebagai paspor saat mendaftar di s...
Post a Comment
read more..

Install Web Server

Install Web Server Hemat Resource menggunakan Nginx+PHP+MySQL+Debian Mau share tutor cupu nih, biar saya gak lupa. Ehmm... temen2 mungkin udh gak asing lg ama Apache, apalg yg terbiasa pake web server instant (XAMPP). Tp tau gak, klo Apache itu sangat boros resource!. Buat yg punya budget gede sih gak masalah bisa beli server dng spek tingging, tp gmn dng yg budgetnya pas2an seperti saya ini? mau gak mau harus cari akal. Salah satunya adalah menggunakan Nginx. Berikut tutornya. NOTE: Saya menggunakan Debian utk OS nya, utk OS/distro lain belum coba. Warna merah: adalah error yg mungkin terjadi saat installasi Warna biru: adalah file2 penting atau lokasi penting yg harus di edit/tambah Code: code spoiler : adalah perintah2 yg saya ketikan FAQ QUESTION: Kenapa gak pake XAMPP aja yg praktis??? ANSWER: Klo mau yg instant terus, kapan belajarnya... jng manja :) Bismillah... ******************************************************************************** ​*...
Post a Comment
read more..

Cara dasar membuat installer hackintosh untuk laptop melalui flashdisk halo,,,

Cara dasar membuat installer hackintosh untuk laptop melalui flashdisk halo,,, saya akan menjelaskan tutorial mengenai pembuatan installer hackintosh di laptop atau bahkan PC. pada utorial ini saya menggunakan Mac OS X LION. dan prosesor berbasis INTEL. dengan metode penginstalan menggunakan flasdisk. saya menggunakan metode saya sendiri. pertama, siapkan bahan-bahan yang dibutuhkan untuk penginstalan. -flashdisk 8GB atau lebih -laptop (dalam praktek ini saya menggunakan laptop acer 4750 intel core i3 2310 2.10Ghz "sandybridge" 2GB DDR3 of RAM) -laptop yg sudah terinstal hackintosh ataupun macbook asli (boleh pinjam macbook temen ) -serta kext yg akan dibutuhkan untuk kebutuhan penginstalan driver -mac os x lion installer -download UNIBEAST, MULTIBEAST search di google "anda harus registrasi dulu untuk bisa mendownload file tersebut" -kesabaran, harapan, dan doa. hargailah proses. -Kopi dan cemilan. rokok bila yang merokok 1. membuat fl...
Post a Comment
read more..