DEFACE DENGAN HAVIJ
Salah satu alat populer adalah Havij, Havij adalah alat injeksi SQL canggih yang membuat SQL Injection sangat mudah bagi Anda, Seiring dengan SQL injection, banyak tools di dalamnya yang membuatnya sangat efektif.
Database didukung Dengan Havij :
- MsSQL 2000/212 with error.
- MsSQL 2000/2014 no error union based
- MySQL union based
- MySQL Blind
- MySQL error based
- MySQL time based
- Oracle union based
- Ms Access union based
- Sybase (ASE)
Bahan Bahan :
- Tool Havij (Cari Di Google Lalu Download )
- Web Yang memiliki Kelamahan SQL
Cara Mencarinya dengan Menggunakan Dork : inurl:index.php?id=
inurl:games.php?id=
inurl:iniziativa.php?in=
inurl:curriculum.php?id=
Lalu Pilih salah satu web dan tambahkan ' ( Tanda kutip ) pada akhir link web. Dan bila Vuln SQL akan ada tulisan "error sql"
1. Buka Havij yang telah di download
2. Masukkan Web Target yang memiliki kelemahan SQL Lalu tekan "Analyze"
3. Kemudian Klik "Tabel" pada Tab Lalu centang hasil pada kolom Dan Kemudian Tekan "Get DBs"
4. Sekarang Anda Punya Semua Database di Hasil. Kemudian centang DatabaseDan Tekan "Get Tables"
5. Anda Mendapatkan Tables Dari Database. Sekarang Centang Tabel yang Penting dalam Website Lalu Tekan "Get Columns"
6. Anda Akan Mendapatkan Kolom dari Tabel. Centang Kolom Terkait Dan Tekan "Get Data"
Saya akan Pilih Nama, Password, Kolom UserGroup. Pilih data yang Terkait dengan Admin Username, Password, Dll.
7. Jika Anda Beruntung, anda akan mendapatkan Username dan Password Admin Web Tersebut.
Jika Password berbentuk seperti itu anda perlu meng'hash terlebih dahulu passwordnya...
8. Anda Bisa Lihat Tombol MD5 Dalam Daftar Buttons Havij. Tekan Tombol Itu Dan Pastekan Password yang akan di Hash Dan Tekan tombol Start.
Jika Berhasil Password nantinya akan muncul seperti gambar dibawah :
Anda Juga bisa masuk kesini untuk Menghash Passwordnya https://hashkiller.co.uk/md5-decrypter.aspx
9. Sekarang kita akan mencari tempat Login Adminnya. Gunakan "Find Admin" Pada daftar Tool di Havij.
Tekan "Find Admin" Lalu masukkan Web target dan otomatis akan mencari tempat login admin berada.
JANGAN LUPA UNTUK TINGGAL KAN COMENTAR YA :)