[Tutorial]SQL Injection Menggunakan Havij

[LinuxManiax]

Oke, kali ini saya akan memberikan tutorial tentang inject website menggunakan tool havij.

Tool havij sendiri fungsinya memang untuk sql injection, jadi kita tidak perlu capek2 untuk inject manual. cukup dengan klik klik langsung beres deh.



Tool ini juga cukup apik, karena sudah disertakan md5 kracker, admin finder dll.

Tool havij yg saya gunakan disini adalah versi 1.10. Bagi yang belum punya tool havij silahkan download disini:

http://itsecteam.com/files/havij/Havij1.15Free.rar



Bagi yg sudah mahir menggunakan tool ini, pasti sudah tau. Namun bagi yg belum pernah mencoba pasti bingung. simak baik-baik tutorial ini. langsung saja kita menuju ke tekape.



Disini saya sudah mendapatkan target yaitu:


Code:

http://www.thenaturalbabyco.com/product.php?pID=100032

Kemudian buka tool havij kalian, dan masukan url korban dimenu target. lihat sperti gambar berikut:




[/spoiler]

Spoiler for open this:

Spoiler for open this:

for :
















Setelah itu klik analyze. tunggu beberapa saat. waiting is boringting

nah, setelah selesai dan sudah dianalyze, maka akan muncul informasi server target.

dan yg terpenting adalah nama databasenya. simak gambar dibawah ini:

Spoiler for open this:

Spoiler for open this:

for :












Sekarang tinggal mencari tabelnya. klik tabel. dan klik get tabel simak gambar dibawah ini:

Spoiler for open this:

Spoiler for open this:

for :














setelah nama2 tabelnya sudah keluar sekarang saatnya mencari kolomnya. pilih salah satu tabel dengan menchecklistnya lalu klik get columns. simak gambar dibawah ini:

Spoiler for open this:

Spoiler for open this:

for :
















setelah columns dari tabelnya sudah keluar, maka langkah terakhir adalah dump isinya.

saya disini akan mengedump tabel administrator, yang didalamnya terdapat columns username dan password.



checklist kolum mana yg ingin didump lalu klik get data. contoh lihat gambar dibawah ini:

[spoiler=open this] for :












Oke, kita sudah dapat username dan passwordnya. sekarang tinggal mendecript passwordnya dan mencari admin pagenya.

- Untuk mendecrypt password bisa dilakukan ditab md5 lalu masukan passwordnya dan klik start.



- Untuk mencari admin page nya bisa dilakukan ditab Find admin setelah itu masukan url korban. dan klik start



Nanti akan muncul halaman adminya. misalnya tidak muncul bisa menggunakan alternatif lain sperti mencari admin page dengan Admin Finder. untuk admin finder dapat dicek disini: http://tool.suramz.com/adminfb.php Atau cari ditempat lain.



Kalau misalnya adminya tidak ketemu juga, anda bisa menscannya dengan tool Acunetix. kalau tidak dapat juga. silahkan pasrah dan cari target lain



- Alternatif lain/tempat mendecrypt password juga ada banyak. silahkan search di mbah google.

Atau bisa juga decrypt disini: http://hashchecker.de



- Formatnya: http://hashchecker.de/passwordmd5nya

- jadi: http://hashchecker.de/2398yasfasfxzffgd989





Nanti situs itu akan mencari sendiri decrypt dari password md5 tersebut.





NB: Hacking itu adalah dimana anda dapat mengexplorasi diri anda. jangan terpaku pada satu materi/teknik. Carilah materi lain atau teknik lain. bahkan jika anda sudah lihay, anda bisa menggunakan teknik anda sendiri.



So Hacking is Art.