Kali ini saya akan mecoba berbagi tutorial dasar untuk meninjeksi SQL website yang memakai CMS Lokomedia untuk mendapatkan username dan password dari adminnya. Langsung simak saja ya hehe.
BAHAN-BAHAN :
- Dork :
inurl:/statis-1-profil.html
inurl:/statis-2-profil.html
inurl:/statis-2-profil.html
inurl:/statis-3-strukturorganisasi.html
Silahkan pilih salah satu dari dork di atas dan cari di mesin pencarian google, dari sekian banyaknya dork untuk Lokomedia, pilihan di atas adalah dork yang paling umum.
- Eksploit
'union+select+make_set(6,@:=0x0a,(select(1)from(users)where@:=make_set(511,@,0x3C6C693E,username,password)),@)--+
Fungsi eksploit ini agar bisa diinjeksikan ke URL website yang sudah kita targetkan.
- Halaman Login Admin
http://webtarget.com/adminweb
http://webtarget.com/admin
http://webtarget.com/administrator
http://webtarget.com/redaktur
Cara ini akan sedikit lebih susah untuk mencari halaman admin karena tiap-tiap halaman login admin di tiap-tiap website CMS Lokomedia pasti berberbeda-beda, pilihan di atas adalah halaman login default, kalau adminnya pinter pasti mereka tidak memakai pilihan di atas, kalau adminnya masih memakai halaman default tersebut berarti anda beruntung.
- Keberuntungan
Keberuntungan memang sangat diperlukan untuk mempraktekkan metode SQL Injection Lokomedia ini, karena kebanyakan yang terjadi di lapangan adalah: kita sudah dapat username dan password adminnya tapi tidak beruntung untuk menemukan halaman login si adminnya.
- MD5 Decrypter
https://hashkiller.co.uk/md5-decrypter.aspx
http://md5online.org/
Nah kalau sudah ketemu password dari adminnya, kita crack passwod MD5 nya menggunakan website di atas.
TUTORIAL :
- Website Target
Saya di sini sudah punya website target yang memakai CMS Lokomedia, cukup gunakan dork yang sudah saya sediakan di atas lalu copy dan paste ke mesin pencarian google.
(Mohon maaf saya blur domain utamanya, takutnya ada yang nyoba nikung ke sini, kasian adminnya soalnya ini website sekolah hehe)
- Cara Eksploit
Kalau sudah dapat target websitenya, sekarang eksploit URLnya dengan eksploit yang sudah saya bagikan di bagian bahan-bahan paling atas. Cara eksploitnya cukup paste-kan ke URL di antara "1 dan -"
Perhatikan tanda merah :
Nah, penampakannya ada di bawah :
INGAT! Paste eksploitnya ke di tengah-tengah antara "1 dan -"
- Cara Dapat Username & Password
Jika website sudah dieksploit dan di tekan ENTER, maka kira-kira tab Chrome atau Firefox kalian pada website tersebut akan seperti ini :
(Ini artinya tanda-tanda kamu dapat username dan password adminnya)
Untuk lebih jelas username dan passwordnya kamu bisa :
Klik Kanan Mouse > View Page Source
atau
CTRL + U
INGAT! Aplikasikan View Page Source atau CTRL+U di tab website yang sudah kalian eksploit. Jangan di tab yang lain -_____-
Nah maka penampakannya akan seperti ini :
Sekarang kita sudah dapat username dan password para admin di website tersebut.
- Cara Crack Password
Untuk crack password silahkan gunakan website yang sudah saya bagikan di bahan-bahan paling atas. Saya akan ambil salah satu contoh username dan password dari admin web target saya.
sidikbjb d079984aedc343ff7e7c97cd9c949498Lalu saya akan coba crack MD5 password dan hasilnya adalah :
d079984aedc343ff7e7c97cd9c949498 = mencintaumu
- Login Ke Halaman Admin
Untuk cara ini saya serahkan ke anda masing-masing, karena teknik ini tergantung keberuntungan dan kehebatan masing-masing dalam menebak. Silahkan baca bahan-bahan di atas siapa tahu halaman admin dari website target anda menggunakan alamat default hahaha.
Selamat mencoba. Kalau sudah tahu caranya tolong gunakan sebaik-baiknya, jangan digunakan untuk mengobrak-abrik apalagi merusak website sekolah dan website pelayanan masyarakat lainnya. Kalau ketemu website yang rentan seperti ini tolong beritahu admin website tersebut.
EmoticonEmoticon