[Share] SQL Injection with NoSQL Map
#1
Tongue 
Assalamualaikum semua nyaaa..
Udah lama nih belom post di forum tercinta kita Big Grin untuk meramaikan lagi, ini ada sedikit tutorial dari ane.
Udah pada tau sebelum nya apa itu NoSQL Injection? Kalo belom bisa baca disini
Jadi, intinya NoSQL Injection itu memudahkan server untuk me-load database ke memori server. Kronologi nya seperti ini:
User pertama yang mengakses database - Lalu database yang pertama kali di-load bakal dipindahkan  ke memori server - User selanjutnya mengakses ke memori server, tidak ke database.

Nahh biasanya database yg digunakan itu adalah MongoDB
Namun, tidak menutup kemungkinan kalau sudah seperti itu bakalan aman. Because, No SYSTEM is SAFE.

Karena seperti itu, timbulah si NoSQL Map Big Grin
Pertama-tama.. download dulu si NoSQL Map nya di github
Lalu ekstrak dan masuk ke folder NoSQL-Map nya
Code:
cd NoSQLMap-stable
Setelah sudah masuk di folder nya, lalu kita jalankan si setup.py
[Image: no_sql.png]
Tunggu jalan skripnya....
Kalo udah selesai install-nya, kita jalankan si nosqlmap.py
[Image: no_sql2.png]

Nah kalo udah jalan, nanti bakalan muncul pilihan menu nya.
Kita pilih 1 untuk Set Options nya terlebih dahulu
[Image: no_sql3.png]

Disitu banyak yang harus di set terlebih dahulu, namun biar simple kita hanya set di menu 1,7,8
Dimana
1: adalah IP/Host target kita
7: isi dengan localhost kita (127.0.0.1)
8: set listen port (bebas, ex:31337)

Setelah semua di set, pilih x untuk kembali ke menu awal.
Lalu pilih menu 2 untuk memulai attacking
[Image: no_sql4.png]

Nb: Karena ini nyerang nya ke database MongoDB, jadi untuk lebih mudah mencari target kita bisa menggunakan shodan.io dengan search port defaultnya si MongoDB yaitu 27017.

Nahh sekarang kita tunggu sampai keluar pilih y/n. Kita pilih Y
[Image: no_sql5.png]

Setelah itu, apabila attacking berhasil.. muncul pilihan menu lagi
[Image: no_sql6.png]

Jadi kita bisa milih mau ngapain setelah berhasil. Misalnya ane pilih 2 untuk enum database di server nya..
Violaaa~ kita berhasil enum database yang ada di server target.
[Image: no_sql7.png]

Nahh itu aja sekian tutorial singkat dari ane. Semoga bermanfaat untuk Jagat IT-Se{curi}ty an di Indonesia.
Terima kasih. Keep LEARN & SHARE


****
Tambahan, kita juga bisa meng-clone database target dengan memilih pilihan yg ke 4.
Namun, kita juga harus install terlebih dahulu database MongoDB nya pada Laptop/PC kita.
"pertarungan terbaik adalah menghindarinya"
--KURAWA--




#2
Keren kak, bagaimana kita tau kalau itu vuln? Apa cuma cari database mongoDB aja? berarti tidak berlaku di db yang lain?

#3
(08-01-2016, 04:35 PM)sinyalputus Wrote: Keren kak, bagaimana kita tau kalau itu vuln? Apa cuma cari database mongoDB aja? berarti tidak berlaku di db yang lain?

Kalo cara tau Vuln atau ngga nya si biasa nya dicobain dulu Big Grin soalnya blm nyoba juga cari cara tau Vuln atau ngga nya.
Sebenernya sih ada 2 DB, bisa MongoDB sama CouchDB. Pilih nya yg di menu awal, terus pilih menu yg no 5 (Change Platform)
"pertarungan terbaik adalah menghindarinya"
--KURAWA--




#4
kalo diliat dari versi MonggoDebeh nya.. gmna kak ?
versi brapa aja yg Vuln
Klik Here

Clound@IBTeam:~#
EMail Me : [email protected]

#5
Wuih saingannya SQLMAP nih Big Grin patut dicoba ..
thanks om tutornya cek kulkas yakk ++ buat ente hehe
Jangan Makan Tulang Kawan | Kurawa |

#6
cara nyari vulnnya kek mana ya??

kok saya bingung cara searc web targetnya ya??
IBT REGIONAL LAMPUNG TELAH MATI TAPI ORANGNYA MASIH HIDUP






Users browsing this thread: 1 Guest(s)