[Tutorial] SQL Injection menggunakan Havij
Oke, kali ini saya akan memberikan tutorial tentang inject website menggunakan tool havij.
Tool havij sendiri fungsinya memang untuk sql injection, jadi kita tidak perlu capek2 untuk inject manual. cukup dengan klik klik langsung beres deh.
Tool ini juga cukup apik, karena sudah disertakan md5 cracker, admin finder dll.
Tool havij yg saya gunakan disini adalah versi 1.10. Bagi yang belum punya tool havij silahkan download disini:
Code:
www.itsecteam.com/en/projects/project1_page2.htmuntuk cracknya silahkan klik di bawah ini:
http://www.mediafire.com/download.php?4m8jb2hkwv79yvt Bagi yg sudah mahir menggunakan tool ini, pasti sudah tau. Namun bagi yg belum pernah mencoba pasti bingung. simak baik-baik tutorial ini. langsung saja kita menuju ke tekape.
Disini saya sudah mendapatkan target yaitu:
Code:
http://www.thenaturalbabyco.com/product.php?pID=100032 Kemudian buka tool havij kalian, dan masukan url korban dimenu target. lihat sperti gambar berikut:
Content
Setelah itu klik analyze. tunggu beberapa saat. waiting is boringting
nah, setelah selesai dan sudah dianalyze, maka akan muncul informasi server target.
dan yg terpenting adalah nama databasenya. simak gambar dibawah ini:
Content
Sekarang tinggal mencari tabelnya. klik tabel. dan klik get tabel simak gambar dibawah ini:
Content
setelah nama2 tabelnya sudah keluar sekarang saatnya mencari kolomnya. pilih salah satu tabel dengan menchecklistnya lalu klik get columns. simak gambar dibawah ini:
Content
setelah columns dari tabelnya sudah keluar, maka langkah terakhir adalah dump isinya.
saya disini akan mengedump tabel administrator, yang didalamnya terdapat columns username dan password.
checklist kolum mana yg ingin didump lalu klik get data. contoh lihat gambar dibawah ini:
Content
Oke, kita sudah dapat username dan passwordnya. sekarang tinggal mendecript passwordnya dan mencari admin pagenya.
- Untuk mendecrypt password bisa dilakukan ditab md5 lalu masukan passwordnya dan klik start.
- Untuk mencari admin page nya bisa dilakukan ditab Find admin setelah itu masukan url korban. dan klik start
Nanti akan muncul halaman adminya. misalnya tidak muncul bisa menggunakan alternatif lain sperti mencari admin page dengan Admin Finder. untuk admin finder dapat dicek disini:
http://tool.suramz.com/adminfb.php Atau cari ditempat lain.
Kalau misalnya adminya tidak ketemu juga, anda bisa menscannya dengan tool Acunetix. kalau tidak dapat juga. silahkan pasrah dan cari target lain
- Alternatif lain/tempat mendecrypt password juga ada banyak. silahkan search di mbah google.
Atau bisa juga decrypt disini:
http://hashchecker.de - Formatnya:
http://hashchecker.de/passwordmd5nya - jadi:
http://hashchecker.de/2398yasfasfxzffgd989 Nanti situs itu akan mencari sendiri decrypt dari password md5 tersebut.
NB: Hacking itu adalah dimana anda dapat mengexplorasi diri anda. jangan terpaku pada satu materi/teknik. Carilah materi lain atau teknik lain. bahkan jika anda sudah lihay, anda bisa menggunakan teknik anda sendiri dan Jangan cari vulnerability *.go.id.
