Sabtu, 30 Juni 2012

Deface Website SQL Injection with Havij

Oke, kali ini saya akan memberikan tutorial tentang deface website sql injection with havij
Tool havij sendiri fungsinya memang untuk sql injection, jadi kita tidak perlu capek2 untuk inject manual. cukup dengan klik klik langsung beres deh.

Tool ini juga cukup apik, karena sudah disertakan md5 cracker, admin finder dll.
Tool havij yg saya gunakan disini adalah versi 1.10. Bagi yang belum punya tool havij silahkan download :

DOWNLOAD

Bagi yg sudah mahir menggunakan tool ini, pasti sudah tahu dan lewat saja. Namun bagi yang belum pernah mencoba pasti bingung. Simak baik-baik tutorial ini. Langsung saja kita menuju ke TKP.
1. Cari Targetnya dulu dengan dork: berita.php?id=100
Disini saya sudah mendapatkan target yaitu:
http://www.thenaturalbabyco.com/product.php?pID=100032
2. Kemudian buka tool havij kalian, dan masukan url korban dimenu TARGET. Lihat sperti gambar berikut:

3. Setelah itu klik ANALIZE. Tunggu beberapa saat. nah, setelah selesai dan sudah dianalyze, maka akan muncul informasi server target dan yang terpenting adalah nama databasenya. Simak gambar dibawah ini:

4. Sekarang tinggal mencari tabelnya. klik tabel. dan klik GET TABLES simak gambar dibawah ini:

5. Setelah nama-nama tabelnya sudah keluar, sekarang saatnya mencari kolom. Pilih salah satu tabel dengan menchecklistnya lalu klik GET COLUMNS. Simak gambar dibawah ini:

6. Setelah columns dari tabelnya sudah keluar, maka langkah terakhir adalah dump isinya. Saya disini akan mengedump tabel administrator, yang didalamnya terdapat columns username dan password. checklist kolom mana yg ingin didump lalu klik GET DATA. Contoh lihat gambar dibawah ini:


Oke, kita sudah dapat username dan passwordnya. sekarang tinggal mendecrypt passwordnya dan mencari admin pagenya.
  • Untuk mendecrypt password bisa dilakukan ditab md5 lalu masukan passwordnya dan klik start.

    •
  • Untuk mencari admin page nya bisa dilakukan ditab Find admin setelah itu masukan url korban. Dan KLIK START



    • Nanti akan muncul halaman adminnya. Misalnya tidak muncul bisa menggunakan alternatif lain sperti mencari admin page dengan Admin Finder. Untuk admin finder dapat dicek disini: http://tool.suramz.com/adminfb.php Atau cari ditempat lain.

    Kalau misalnya adminnya tidak ketemu juga, anda bisa menscannya dengan tool Acunetix. kalau tidak dapat juga. Silahkan pasrah dan cari target lain.

    Alternatif lain/tempat mendecrypt password juga ada banyak. Silahkan search di google. Atau bisa juga decrypt disini: www.md5decrypter.co.uk
    Diposting oleh di

    Tidak ada komentar:

    Posting Komentar

    Langganan: Posting Komentar (Atom)
     
    © Copyright dhanyes[dot]blogspot[dot]com | Template By : Dhany Es