Ya, pentest memang sangat diminati dikalangan underground bahkan hingga kalangan SMP, SMA, kuliah, pekerja, pengangguran, pedagang, dll yang sudah pandai melakukan deface ini. bermacam – macam Exploit dan POC (Proof of Concept) sudah mereka kuasai. Ya gak kebayang kan gimana jadi seorang defacer, pasti kalo show off situs website pemerintah nasional atau internasional sudah dianggap pro alias professional. Tapi , pada kali ini saya akan membahas sebuah cara untuk melakukan defacing terhadap situs dengan menggunakan download database. Website yang menyimpan file backup-an website dan data data lengkap mereka di website tersebut. Disitulah kelemahan website tersebut yang akan kita gunakan. Jika kita menemukan file yang ber-eksetensi sql seperti ini : db.sql, database.sql, bin.sql, web.sql, (namawebsitenya).sql, dll. File itu berisi tentang data – data website yang telah saya jelaskan sebelumnya. Baiklah kita langsung saja ke tutorialnya.
Bahan – bahan yang diperlukan :
- Kuota / sinyal yang kuat.
- Kapasitas laptop/pc lu. Kenapa? soalnya kadang file backup-an tersebut size nya lumayan besar gan wkwk ada yang 800mb-an dan ada yang size kecil juga tapi, tergantung websitenya juga sih hehe.
- Notepad. Gunanya buat mencari atau menemukan username dan password admin di website tersebut.
Tutorial :
Gambar nya nanti nyusul yaa hehehe.
- Temukan file database tersebut. Kalian juga bisa menggunakan dork berikut yang sudah saya racik wkwk : ext:sql site:in kembangin lagi gan biar dapet yang vuln oke.
- Jika sudah didownload, silahkan buka file tersebut dengan arahkan cursor/ arah panah mouse anda ke file tersebut lalu klik kanan > setelah itu kalian klik pada tulisan “Edit with notepad” atau “open with notepad” dan sejenisnya hehe.
- Pasti pusingkan liat data – datanya hehe biar gak pusing kalian tekan CTRL + F di keyboard mu, lalu isi dengan kata : admin, user ID, password, username, administrator dll yang berkaitan dengan kata admin. contoh : 'admin','5f4dcc3b5aa765d61d8327deb882cf99',
yang 'admin' itu adalah usernamenya, dan yang '5f4dcc3b5aa765d61d8327deb882cf99' itu adalah password md5 nya.
- Jika sudah ketemu kalian akan melihat password yang diencrypt dengan MD5 atau yang lain. Copy password yang di encrypt tadi. sekarang kita hash password tersebut di https://md5decrypt.net/en/
- jika sudah ketemu password nya silahkan cari admin login website tersebut.
- Kalian bisa menggunakan admin finder, acunetix, url crawler, xenu dan tools – tools lain.
- Disini saya menemukan admin login nya yang berada di site.com/admin/login.php
- Kalian isi kolom username dan password yang kalian sudah temukan tadi.
- Berhasil login! Nah, sekarang kalian tinggal cari tempat upload untuk upload shell backdoor mu dengan ekstensi .php.xxxjpg, .php.jpg, .php.jpeg. php5 dll.
- Jika kalian sukses upload shell cara mencari nya dengan klik kanan pada image/gambar yang rusak lalu klik “Open image in newtab”.
- Dah berhasil deh. tinggal hak kalian mau diapakan website tersebut. Oh ya, usahakan kalau mau tebas index di backup terlebih dahulu ya. Gak gampang loh buat website maka dari itu hargai lah para developer yang telah membuat website dengan susah payah (sad).
Demikian artikel tentang “Cara pentest Web menggunakan download database” yang sudah saya buat . jika ada salah kata mohon maaf. Mohon kritik dan saran silahkan tulis di kolom komentar karena saya membutuhkan masukan agar lebih baik kedepan nya dalam menulis artikel ini.
Jangan lupa untuk kembali lagi ke blog saya yaa. Terima kasih.