Sql Injection by tools

SQL Injection menggunakan tools

Disini saya menggunakan salah satu tool yang cukup terkenal yaitu Havij,pada saat tulisan ini dibuat ane menggunakan havij versi 1.14 yang  pro,sebenernya ane males ngegunainnya,soalnya tampilannya kurang cute sih

Cara menggunakannya pun mudah,pertama-tama tentukan dulu targetnya..sebagai contoh ane mau nyerang website pendidikan negeri di solo. < pada saat tulisan ini ane buat,thu website masih ada bug's Sql nya,cuman pass nya udah diubah,tapi bisa di crack dengan Cain Abel kok,dan shell ane dah di apus juga :p >

http://fs.uns.ac.id/art.php?bid=77

step 1

install havij,trus masukkan ajamat sasaran di kolom target klik start

 step 2

kalau udah ketemu nama database nya lalu klik tables,biar  havij melakukan scanning

 

step 3

pilih table yang mau di dump isinya,disini ane ngambil contoh table admins,checklist table admins dan klik get  coloumns

step 4

kalau udah tahu isinya,pilih yang mau diintip,ane tentunya milih username dan pass nya dunk :p

check username dan password lalu klik get data

step 5

nah lho,muncul deh passwordnya..hem ternyata masih dienkripsi ,tapi tenang havij udah nyediain kok,copy passwordnya dan pilih  MD5,trus masukkin passnya tadi klik start

step6

sambil nunggu passnya ketemu,kita nyari page adminnya dulu,klik find admin,trus masukkin url nya tadi

http://fs.uns.ac.id/  kadang kala admin thu nyembunyiin page daminya dengan sangat ribet lho,jadi disini kita dituntut jeli buat ngotak atik,bisa aja jadi http://fs.uns.ac.id/admin/ yang kita masukkin di colom havij tadi

step 7

bila udah ketemu passnya dan hal admin,tinggal masuk aja kita,terserah mau diapain deface boleh,tanem shell boleh atau patch bug nya (tindakan anda sangat mulia)

NB:kebetulan disini gak ketemu page adminnya,tapi untuk web yang satu ini ane kasih tahu page adminnya ada di

http://fs.uns.ac.id/singngatur/

mungkin adminya karena orang solo jadi kasih nama page nya gitu :p