Tutorial Deface Gr3eNoX + Havij

Daftar Isi: (toc)

Mungkin postingan ini adalah sampah yang tidak berarti bagi para master, makanya bagi yang sudah merasa master mending langsung tutup page ini :)

pada tutorial kali ini saya akan menunjukan kepada anda semua terutama newbie dalam dunia hacking seperti saya.
pada tutorial kali ini Bug yang kita cari adalah Bug SQL Injection.


Mungkin biasanya dalam dunia defacing, para defacer mencari bug sql injection dengan cara menambahkan tanda petik di belakang url, contoh

http://www.site.com/index.php?id=100

menjadi:
http://www.site.com/index.php?id=100'
Jika ketika menambahkan tanda petik muncul tulisan
"You have error in your sql syntax ... " atau ada perubahan pada halaman
berarti website tersebut kemungkinan terdapat Bug SQL injection, dan jika tidak tampil tulisan tersebut dan tidak ada perubahan dalam page website tersebut kemungkinan tidak ada Bug SQL injection.

Mungkin jika anda tidak sabar untuk mengecek satu persatu website demi website dengan cara seperti itu membuat anda down hehee.. maka pada postingan kali ini saya akan share bagaimana caranya agar jauh lebih cepat dalam mencari Bug SQL injection menggunakan Google dork + Gr3eNoX +Havij.


sebelum nya anda harus faham dulu bagaimana cara penggunaan google dork.

site: artinya nama website
inurl: artinya di dalam url
intext: artinya di dalam text
intitle: artinya di dalam judul
ext: artinya extension atau format datanya.

Contoh misalkan kita ingin mencari celah website myanmar dengan POC SQL Injection.

perlu kita ketahui:

  • ciri dari website myanmar memiliki domain [dot]mm atau .mm
  • biasanya website yang memiliki celah SQL Injection ada pada website yang memili url [dot] php, dan tidak mungkin [dot]html.
  • loh kenapa? karena file html tidak bisa conect ke database seperti php, dan bukankah tujuan kita adalah mencari database username dan password bukan?

maka untuk mencari Bug SQL Injection pada website myanmar saya menggunakan dork:

site:.mm inurl:.php?

bisa anda kembangkan sendiri "use your brain" cara bermain google dork adalah dengan cara, buat diri anda seolah olah anda web developer :)

Tutorial Deface Lengkap Gr3eNOX + HAVIJ

  • Download Gr3eNoX disini
  • Download Havij 1.16 Portable disini biar cepet hehehe
  • Buka Gr3eNoX nya, dan masukan dork tadi di kolom Dork kemudian klik search, agar website yang kita scan banyak setelah klik search tadi, sekarang ganti pages nya menjadi 2 kemudian klik search lagi, ganti pages nya menjadi 3 kemudian klik search lagi, ganti pages nya menjadi 4 kemudian klik search lagi, sampai pages 5 dan klik search lagi

  • Setelah itu akan muncul website website hasil pencarian kita berdasarkan dork tadi seperti di bawah ini, dan kemudian untuk men scan nya anda tinggal klik start



  • Kemudian website yang memiliki celah akan tampil di kolom sebelah kanan



  • Oke sekarang kita ber alih menggunakan Havij, Buka Havij yang telah anda download tadi.
  • Kemudian masukan target nya berdasarkan hasil scan Gr3eNoX tadi, misalkan saya pilih targetnya:
http://www.aec.com.mm/news.php?nid=34

  • Kemudian Klik Analyze, dan biarkan havij menscan target anda, sampai tombol tables bisa di klik seperti di bawah ini, dan dari gambar di bawah ini terlihat bahwa ada database bernama aec dalam website ini, untuk melihat tables nya kita klik tables

  • maka akan tampil seperti di bawah ini:
  • untuk melihat database lain klik Get DBs, dan untuk melihat tables pada database aec klik Get Tables, sekarang kita coba lihat tables di database aec dengan cara click get tables
  • maka akan tampil seperti di bawah ini, ingat tujuan kita adalah mencari user dan password , dan biasanya user dan password ada pada table user atau admin, seperti pada gambar di bawah ini ada  table admin maka kita centang admin kemudian klik Get Columns untuk melihat kolom


  • Setelah itu akan muncul kolom yang ada pada table admin tersebut, terlihat di gambar di bawah ini bahwa kolom yang ada adalah id, username, password, email. karena kita membutuhkan username dan password maka kita centang username dan password kemudian klik Get Data



  • Maka akan tampil data username dan password nya seperti di bawah ini:



Oke username dan password sudah kita peroleh, lalu kemana kita harus login.

Cara Mencari Login admin website:

1. Alternatif pertama Mencari Login Admin dengan Havij

  • Gunakan Havij klik Find Admin, masukan url target pada kolom path to search dan klik start

  •  Ternyata menggunakan havij hasilnya tidak ada, kenapa? karena havij tersebut pencarian nya menggunakan wordlist yang ada.
  • Maka saya memilih cara manual untuk mencari login admin

2. Alternatif kedua Mencari Login Admin dengan cara Manual

  • Mencari login admin website menggunakan Cara Manual atau mencari login admin website menggunakan Google Dork
  • Perlu kita ketahui sebelumnya bahwa dalam menggunakan google dork, buat seolah olah diri kita adalah webdeveloper nya.
  • Maka sebagai webdeveloper tentu kita ketahui bahwa dalam suatu admin page biasanya di dalamnya terdapat tulisan:
username
email
password
login
kata sandi

  • dan dalam halaman login admin juga biasanya di dalam url nya terdapat tulisan seperti di bawah ini:
/login
/login.php
/admin
/admin.php
/administrator
dan masih banyak yang lain nya, Use your brain..!!!


  • dari pembahasan di atas maka Dork yang bisa kita gunakan untuk mencari login admin website aec.com.mm adalah berikut ini: INGAT FAHAMI PEMBAHASAN SAYA DI ATAS KARENA BERGUNA UNTUK MENCARI LOGIN ADMIN WEB LAIN NYA
site:aec.com.mm intext:"username"
site:aec.com.mm intext:"email"
site:aec.com.mm intext:"login"
site:aec.com.mm intext:"kata sandi"
site:aec.com.mm inurl:/login
site:aec.com.mm inurl:/login.php
site:aec.com.mm inurl:/admin
site:aec.com.mm inurl:/admin.php
site:aec.com.mm inurl:/administrator
  • dari hasil beberapa percobaan di atas saya berhasil menggunakan dork site:aec.com.mm intext:"username"
  • Tinggal klik link tersebut dan login
  • Finish
Find Out
Related Post



Ikuti AltairGate.com pada Aplikasi GOOGLE NEWS : FOLLOW (Dapatkan Berita Terupdate tentang Dunia Pendidikan dan Hiburan). Klik tanda  (bintang) pada aplikasi GOOGLE NEWS.

Post a Comment

0 Comments
* Please Don't Spam Here. All the Comments are Reviewed by Admin.
close