Tutorial Menggunakan Havij
Sebelum menggunakan havij sobat terlebih dahulu menyiapkan bahan - bahan yang dibutuhkan dalam tutorial kali ini.
Bahah - bahannya :
Havij > Bisa sobat cek pada www.masukangin.net/p/download.html
Dork > Bisa sobat cek pada www.masukangin.net/search/label/DORK
Apabila bahan semua sudah siap, tinggal sobat menjalankan dari setiap fungsi diatas.
Gunakan dork dalam mesin pencari google untuk menemukan website - website yang akan di injection melalui havij. Setelah menemukan salah satu website yang akan di coba yang harus sobat lakukan selanjutnya yaitu mengecek apakah website tersebut terdapat vuln atau tidak.
Untuk mengetahuinya,silahkan tirukan contoh website seperti dibawah ini.
http://site.com/products.php?id=2′
(Jika terdapat keterangan seperti ini "You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ‘\” at line 1" maka website tersebut terdapat celah dan website tersebut dapat di injection menggunakan havij)
1. Buka Havij dan paste url situs di kolom target dan tekan enter.
2. Sekarang tunggu sampai Havij mendapatkan semua database dari website.
3. Sekarang hacker mengklik database situs yang tersedia dan klik pada Get Tables. Di sini, mereka memilih 535480_toyonorte untuk situs ini seperti dalam gambar ini:
4. Dengan mengklik Get Tables Havij akan mencari tabel yang tersedia di database.
5. Sekarang setelah pemindaian Havij akan mendapatkan semua tabel, sekarang pekerjaan utama akan dimulai, mereka harus memeriksa apakah ada tabel yang tersedia dengan nama yang ada hubungannya dengan admin, pengguna dan sejenisnya. Disini kita punya tabel yang disebut usuario di website ini. Ini dipilih dan kemudian klik Get Columns.
6. Sekarang setelah mengklik Get Columns havij akan mendapatkan semua kolom yang tersedia di tabel pengguna.
7. Dalam kasus ini, hacker menemukan kolom yang berbeda seperti id, login, pass dan banyak lagi.
8. Sekarang pilih kolomnya dan klik Get Data seperti pada pic yang diberikan di bawah ini.
Sekarang havij akan mencari data yang ada di kolom login dan password misal admin username dan password seperti saya getusername -> adminpassword-> 21232f297a57a5a743894a0e4a801fc3 (dalam bentuk terenkripsi) Seperti pada gambar di bawah ini
9. Sekarang setelah mereka menemukan username dan password ada masalah. Kata sandi dienkripsi dalam bahasa md5, jadi hacker harus memecahkannya.
10. Untuk memecahkan password terenkripsi, hacker menyalin kata kunci klik pada tab MD5 di havij dan tempel kata sandi terenkripsi di kolom hash MD5 dan tekan start. Sekarang havij akan mencoba untuk memecahkan password.
11. Sekarang mereka mendapatkan Password cracked untuk admin.
12. Peretas akan memeriksa admin panel dimana mereka akan login dengan username dan password.
13. Untuk mencari panel Admin klik Find Admin tab di Havij lalu klik start. Sekarang havij akan mengecek panel admin website.
Dalam kasus ini, mereka menemukan http://site.com.co/admin/ sebagai panel admin dan membukanya di browser web. Mereka login dengan username dan password dan sekarang mereka memiliki kontrol terhadap website.
Bahah - bahannya :
Havij > Bisa sobat cek pada www.masukangin.net/p/download.html
Dork > Bisa sobat cek pada www.masukangin.net/search/label/DORK
Apabila bahan semua sudah siap, tinggal sobat menjalankan dari setiap fungsi diatas.
Gunakan dork dalam mesin pencari google untuk menemukan website - website yang akan di injection melalui havij. Setelah menemukan salah satu website yang akan di coba yang harus sobat lakukan selanjutnya yaitu mengecek apakah website tersebut terdapat vuln atau tidak.
Untuk mengetahuinya,silahkan tirukan contoh website seperti dibawah ini.
http://site.com/products.php?id=2′
(Jika terdapat keterangan seperti ini "You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ‘\” at line 1" maka website tersebut terdapat celah dan website tersebut dapat di injection menggunakan havij)
Simak beberapa langkah di bawah ini.
1. Buka Havij dan paste url situs di kolom target dan tekan enter.
2. Sekarang tunggu sampai Havij mendapatkan semua database dari website.
3. Sekarang hacker mengklik database situs yang tersedia dan klik pada Get Tables. Di sini, mereka memilih 535480_toyonorte untuk situs ini seperti dalam gambar ini:
 |
| Tutorial Menggunakan Havij |
4. Dengan mengklik Get Tables Havij akan mencari tabel yang tersedia di database.
5. Sekarang setelah pemindaian Havij akan mendapatkan semua tabel, sekarang pekerjaan utama akan dimulai, mereka harus memeriksa apakah ada tabel yang tersedia dengan nama yang ada hubungannya dengan admin, pengguna dan sejenisnya. Disini kita punya tabel yang disebut usuario di website ini. Ini dipilih dan kemudian klik Get Columns.
 |
| Tutorial Menggunakan Havij |
6. Sekarang setelah mengklik Get Columns havij akan mendapatkan semua kolom yang tersedia di tabel pengguna.
7. Dalam kasus ini, hacker menemukan kolom yang berbeda seperti id, login, pass dan banyak lagi.
8. Sekarang pilih kolomnya dan klik Get Data seperti pada pic yang diberikan di bawah ini.
 |
| Tutorial Menggunakan Havij |
Sekarang havij akan mencari data yang ada di kolom login dan password misal admin username dan password seperti saya getusername -> adminpassword-> 21232f297a57a5a743894a0e4a801fc3 (dalam bentuk terenkripsi) Seperti pada gambar di bawah ini
 |
| Tutorial Menggunakan Havij |
9. Sekarang setelah mereka menemukan username dan password ada masalah. Kata sandi dienkripsi dalam bahasa md5, jadi hacker harus memecahkannya.
10. Untuk memecahkan password terenkripsi, hacker menyalin kata kunci klik pada tab MD5 di havij dan tempel kata sandi terenkripsi di kolom hash MD5 dan tekan start. Sekarang havij akan mencoba untuk memecahkan password.
 |
| Tutorial Menggunakan Havij |
11. Sekarang mereka mendapatkan Password cracked untuk admin.
12. Peretas akan memeriksa admin panel dimana mereka akan login dengan username dan password.
13. Untuk mencari panel Admin klik Find Admin tab di Havij lalu klik start. Sekarang havij akan mengecek panel admin website.
Dalam kasus ini, mereka menemukan http://site.com.co/admin/ sebagai panel admin dan membukanya di browser web. Mereka login dengan username dan password dan sekarang mereka memiliki kontrol terhadap website.
Mas saya ingin bertanya kalo saya centang user pas saya klik get column malah centang user nya yg hilang dan tidak dikasih info password saya sudah coba semua web tapi masih sama gimana caranya yak mas
ReplyDelete